Cybersecurity Maturity Model Certification (CMMC)

Die Cybersecurity Maturity Model Certification (CMMC) ist ein Programm, das vom amerikanischen Verteidigungsministerium (DoD) eingeführt wurde, um Federal Contract Information (FCI) und Controlled Unclassified Information (CUI) zu sichern und zu schützen, indem es die Zertifizierung von externen Auftragnehmern in 14 verschiedenen Domänen mit jeweils drei festgelegten Zertifizierungs­stufen verlangt.

CMMC ist ein einheitlicher Standard für die Implementierung von Cybersicherheit im gesamten Vertragsnetz des DoD, dessen Lieferkette über 300.000 Unternehmen umfasst. Mit CMMC reagierte das DoD auf signifikante Kompromittierungen von sensiblen verteidigungsrelevanten Informationen, die sich auf Informationssystemen von Auftragnehmern befanden.

• Das CMMC-Programm wurde am 1. Januar 2020 eingeführt.
• Ab dem 30. November 2020 integrierte das DoD CMMC-Anforderungen in ausgewählte RFPs/RFIs.
• Bis zum 1. Oktober 2025 werden alle DoD-Verträge zumindest ein gewisses Maß an CMMC-Zertifizierung erfordern. Obwohl das DoD die treibende Kraft hinter CMMC war, wird CMMC zunehmend in der gesamten Verteidigungsindustrie (Defense Industrial Base, DIB) eingesetzt, darunter im Department of Homeland Security und in anderen US-Ministerien und -behörden – insbesondere nach dem SolarWinds-Vorfall.

In der Vergangenheit waren die Auftragnehmer für die Implementierung, Überwachung und Zertifizierung der Sicherheit ihrer informationstechnischen Systeme und aller sensiblen DoD-Informationen, die auf diesen Systemen gespeichert sind oder von diesen übertragen werden, verantwortlich.

Seit dem 30. November 2020 nimmt DoD CMMC-Anforderungen in ausgewählte RFPs, RFIs und Forschungs­verträge auf. Bis zum 1. Oktober 2025 werden alle DoD-Verträge zumindest ein gewisses Maß an CMMC-Zertifizierung erfordern. Das Modell besteht aus drei Reifegraden – Grundlagen, Fortge­schrittene und Experten – die von der Art der zu verarbeitenden Informationen abhängen. Für jede Stufe gibt es auch unterschiedliche Anforderungen an die Bewertung, entweder durch Selbstbewertung, Bewertung durch Dritte oder durch die Regierung. Das digitale Sicherheitsportfolio von Entrust mit Identitäts-, Zertifikats- und Datenschutzlösungen ermöglicht die Compliance mit 9 CMMC-Domänen über die drei möglichen Zertifizierungsstufen hinweg.

Bearbeitet die Organisation grundlegende Informationen, wie z. B. Federal Contract Information (FCI)? Oder handelt es sich um Controlled Unclassified Information (CUI)? Für FCI ist eine Zertifizierung der Stufe 1 erforderlich, für CUI jedoch mindestens eine Zertifizierung der Stufe 2.

Wo weichen der aktuelle Cybersicherheitsstand der Organisation und das gewünschte CMMC-Niveau voneinander ab? Eine Defizitbewertung ist von unschätzbarem Wert für die Definition eines Aktionsplans und von Meilensteinen zur Erreichung der Cybersicherheitsreife des CMMC.

CMMC umfasst die in NIST SP 800-171 spezifizierten Sicherheitsanforderungen sowie zusätzliche Anforderungen aus anderen Standards und Quellen, die je nach Zertifizierungsstufe variieren. Was wird eine Defizitbewertung über den aktuellen Stand der Cybersicherheitshygiene des Unternehmens offenbaren?

Denken Sie an das oberste Ziel von CMMC: FCI und CUI vor dem Zugriff durch böswillige Hackerangriffe zu schützen.