CMMC erklärt: Die neuen Cybersicherheitsziele der US-Verteidigungsgemeinschaft im Überblick

CMMC erklärt: Die neuen Cybersicherheitsziele der US-Verteidigungsgemeinschaft

Von Danny Bradbury • 11 Juli 2024

Cybersicherheit ist in der Verteidigungsindustrie zu einem kritischen Thema geworden, da immer mehr Bedrohungen auf vertrauliche Informationen und kritische Infrastrukturen abzielen. Hier kommt die Cybersecurity Maturity Model Certification (CMMC) ins Spiel. Dabei handelt es sich um einen Rahmen für Verteidigungsunternehmen zur Umsetzung von Cybersicherheitsmaßnahmen, um sich selbst und die Lieferkette des US-Verteidigungsministeriums zu schützen. Aber wie funktioniert es und wie hält man sich daran?

Der im Juni 2019 erstmals angekündigte CMMC-Rahmen ist ehrgeizig. Im Jahr 2020 veröffentlichte das Verteidigungsministerium Version 1 des Rahmens, und eine Übergangsregelung des Präsidenten sah eine fünfjährige Übergangsphase für Rüstungsunternehmen vor, um die Einhaltung zu erreichen.

Compliance umfasst die Navigation in einem matrixartigen Rahmenwerk, das um 17 Cybersicherheitsdomänen herum strukturiert ist, die ursprünglich fünf Reifegrade umfassten. Die Domänen umfassen jeweils ein breites Spektrum an Sicherheitspraktiken, von Zugangskontrolle und Asset-Management über Identifikation und Authentifizierung und Reaktion auf Vorfälle bis hin zur System- und Informationsintegrität. Das Rahmenwerk beschreibt spezifische Praktiken in jeder Domäne, die der Zertifizierung auf jedem Reifegrad entsprechen.

Jeder Reifegrad des Frameworks baut auf dem darunterliegenden auf und bietet Rüstungsunternehmen einen Weg zur Weiterentwicklung ihrer Cybersicherheitspraktiken.

Überarbeitungen des Rahmenwerks

Da CMMC beide von der Bundesregierung stammen, ist es nicht verwunderlich, dass es eng mit einem anderen Sicherheitsstandard verwandt ist: dem NIST SP 800-171-Standard zum Schutz kontrollierter, nicht klassifizierter Informationen (CUI) in nicht-bundesstaatlichen Systemen und Organisationen. Die Vorschriften der Federal Acquisition Regulation (FAR) und des Defence Federal Acquisition Regulation Supplement (DFARS) (die vorschreiben, was Bundes- und Verteidigungsauftragnehmer tun müssen, bevor sie mit der Bundesregierung zusammenarbeiten können) schreiben die Einhaltung von NIST SP 800-171 vor.

Ein wesentlicher Vorteil des ursprünglichen CMMC gegenüber NIST SP 800-171 bestand darin, dass letzteres auf Selbstbescheinigungen zur Einhaltung der Vorschriften angewiesen war, während CMMC 1.0 Bewertungen durch Dritte zur Überprüfung der Umsetzung vorschrieb. Im März 2021 kündigte das Verteidigungsministerium jedoch eine interne Überprüfung des CMMC an, die im November desselben Jahres zu einer aktualisierten Version, CMMC 2.0, führte. Diese Überarbeitung war eine Reaktion auf das Feedback der Industrie, die geringere Compliance-Kosten (insbesondere für kleine Unternehmen) sowie eine bessere Abstimmung mit anderen Standards forderte.

CMMC 2.0 reduzierte die Anzahl der Reifegrade auf drei (Foundational, Advanced und Expert). Außerdem wurden die Kosten gesenkt, indem Selbstbewertungen für den Foundational-Level und einige Anforderungen von Advanced eingeführt wurden. Weitere Änderungen, die die Auswirkungen auf Unternehmen abmildern sollten, waren Bestimmungen für Ausnahmen sowie Aktions- und Meilensteinpläne (POA&Ms). Ausnahmen ermöglichen es Unternehmen, unter bestimmten Umständen vorübergehende Ausnahmen von CMMC zu beantragen, während POA&Ms es ihnen ermöglichen, Ziele mit Zeitplänen zum Schließen von Compliance-Lücken festzulegen.

Im optimierten CMMC 2.0 greifen die Anforderungen von NIST SP 800-171 auf Ebene zwei, während Ebene drei einige Anforderungen von SP 800-172 umfasst.

Wie können Sie CMMC einhalten?

Derzeit ist die Einhaltung von CMMC 2.0 keine vertragliche Anforderung, da die Regelsetzung für dieses Update noch abgeschlossen werden muss. Dies wird voraussichtlich bis zu zwei Jahre dauern. Das Verteidigungsministerium veröffentlichte seinen Regelvorschlag für CMMC im Dezember 2023 mit einer 60-tägigen Konsultationsphase. Die Regel wird am 1. Oktober 2026 in Kraft treten, daher ist es klug, jetzt damit zu beginnen.

Definieren Sie zunächst die CMMC-Stufe, die Sie anstreben. Diese decken verschiedene Arten von Informationen ab. Die Foundational-Stufe umfasst Federal Contract Information (FCI). Advanced ist für Organisationen gedacht, die CUI, kontrollierte Verteidigung, kontrollierte technische Informationen oder exportkontrollierte Daten verarbeiten möchten. Die Expertenzertifizierung ermöglicht Ihnen den Transport kritischer, kontrollierter, nicht klassifizierter Informationen und gilt auch für diejenigen, die an sensiblen Projekten in den Bereichen Luft- und Raumfahrt oder Militär arbeiten.

Ihr Level bestimmt die Anforderungen, die Sie erfüllen müssen. Die Foundational-Zertifizierung erfordert die Einhaltung der Anforderungen der FAR 52.204-21-Regel (17 CMMC-Praktiken). Um den Advanced-Status zu erreichen, müssen Sie alle 110 Sicherheitskontrollen von NIST 800-171 erfüllen, während die Expert-Zertifizierung auch die Einhaltung einer Teilmenge der NIST 800-SP 172-Anforderungen erfordert. Dieser Standard enthält erweiterte Anforderungen zum Schutz von CUI, einschließlich Minderungsmaßnahmen gegen fortgeschrittene, anhaltende Bedrohungen.

Identifizieren Sie die von CMMC abgedeckten Assets und führen Sie eine Lückenanalyse durch, um zu sehen, wo Sie derzeit nicht die erforderliche Zertifizierung haben. Wählen Sie einen Managed Service Provider, der Sie bei Bedarf bei Ihren Sicherheitsupgrade-Anforderungen unterstützt. Sie müssen auch eine CMMC-Bewertung durchführen, was je nach gewähltem Reifegrad eine Bewertung durch Dritte bedeuten kann.

Im Moment gibt es viel zu tun

Während wir auf die Frist für CMMC warten, gibt es dringendere Compliance-Anforderungen. Das Verteidigungsministerium hat ein Supplement zur Regulierung der Beschaffungsvorschriften des Verteidigungsministeriums erstellt.

(DFARS) Klausel 252.204-7012, eine neue Regelung, die Cybersicherheitsmaßnahmen für Bundesverteidigungsunternehmen vorschreibt. Nach dieser nun in Kraft getretenen Regelung müssen die Unternehmen alle 110 Sicherheitsanforderungen aus NIST SP 800-171 erfüllen.

In Zukunft sind weitere CMMC-Entwicklungen zu erwarten, da NIST nun die dritte Revision von NIST SP 800-71 veröffentlicht hat. Diese hat zwar scheinbar weniger Anforderungen als v2, aber diese Anforderungen sind weitaus umfangreicher und erfordern mehr Verifizierungsfragen und mehr Arbeit. CMMC 2.0 enthält zwar keine NIST SP 800-71 v3-Konformität, aber in Zukunft ist damit zu rechnen.

Sie können vorhandene Arbeiten, die Sie zu ISO 27001 durchgeführt haben, bei diesen Vorbereitungen verwenden. Obwohl es sich um einen von CMMC getrennten Standard handelt, gibt es einige Überschneidungen. Da CMMC stark auf NIST SP 800-71 basiert, können Sie die ISO 27001-Zuordnung in NIST SP 800-71 Anhang D verwenden, um sich einen Vorsprung bei der CMMC-Konformität zu verschaffen.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Internet-Sicherheit 20 November 2025

Was uns die Salesforce-Sicherheitslücken über gemeinsame Verantwortlichkeit lehren

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

2025 war kein gutes Jahr für Salesforce-Kunden. Eine dubiose kriminelle Gruppe verübte eine Reihe von Angriffen auf deren Kunden, die letztendlich …

Danny Bradbury

Internet-Sicherheit 13 November 2025

Bewertung des Kurswechsels der Trump-Regierung in der US-Cybersicherheitspolitik (Banner)

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Jüngste Exekutivmaßnahmen und Umstrukturierungen von Behörden markieren einen bedeutenden Wandel in der Cybersicherheitsstrategie des Bundes und werfen Fragen zur nationalen Sicherheit auf...

Danny Bradbury

CMMC erklärt: Die neuen Cybersicherheitsziele der US-Verteidigungsgemeinschaft

Überarbeitungen des Rahmenwerks

Wie können Sie CMMC einhalten?

Im Moment gibt es viel zu tun

Danny Bradbury

In Verbindung stehende Artikel

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Rechtsbranche

Lesen Sie mehr von Danny Bradbury

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik