CUI-Schutz: Sicherer Umgang mit kontrollierten, nicht klassifizierten Informationen

Kontrollierte nicht klassifizierte Informationen (CUI) sind sensible, aber nicht klassifizierte Informationen, die gemäß Bundesrecht, Vorschrift oder bundesweiter Richtlinie Schutz- oder Verbreitungsmaßnahmen erfordern. Für Bundesbehörden und Auftragnehmer in den Bereichen Verteidigung, Energie, Gesundheitswesen und anderen regulierten Sektoren hat die ordnungsgemäße Handhabung von CUI erhebliche Compliance- und vertragliche Auswirkungen.

Yet many organizations still lack the procedures, system controls, and visibility needed to meet federal requirements. With CMMC Phase 1 implementation underway and the government moving toward more uniform contractor handling requirements via the FAR CUI rule, CUI compliance is no longer aspirational. It is a contract prerequisite.

Organisationen, die keine ordnungsgemäße Identifizierung, Kennzeichnung, Sicherung und Verbreitungskontrollen für CUI nachweisen können, riskieren nachteilige Prüfungsfeststellungen, Vertragsverzögerungen und den Verlust der Berechtigung für zukünftige Auszeichnungen.

Dieser Leitfaden erklärt, was CUI tatsächlich ist, wie die Schutzanforderungen aussehen und wie man einen praktischen Ansatz für den sicheren Umgang damit entwickelt.

Was ist kontrollierte, nicht klassifizierte Informationen (CUI)?

Kontrollierte nicht klassifizierte Informationen sind Informationen, die die Bundesregierung erstellt oder besitzt, oder die eine Einheit im Auftrag der Regierung erstellt oder besitzt und die Schutz- oder Verbreitungsmaßnahmen erfordern, die mit den geltenden Gesetzen, Vorschriften und bundesweiten Richtlinien übereinstimmen.

As a formal information category, CUI was established by Executive Order 13556 and codified in 32 CFR Part 2002. It replaced a patchwork of legacy markings like FOUO, LES, and SBU with a single, consistent framework for safeguarding sensitive but unclassified information across federal agencies and their contractors.

Ein Schlüsselprinzip liegt dem gesamten Programm zugrunde: Nur Informationen, die gemäß Bundesgesetz, Vorschrift oder bundesweiter Richtlinie geschützt werden müssen, können als CUI bezeichnet werden. Behörden können CUI-Kategorien nicht nur auf der Grundlage administrativer Präferenzen erstellen.

CUI wird in zwei Handhabungskategorien unterteilt:

• CUI Basis ist der Standard. Es gelten einheitliche Standards aus 32 CFR Teil 2002 für alle CUI, es sei denn, das NARA CUI-Register kennzeichnet eine Kategorie ausdrücklich als CUI Spezifisch. Banner-Markierungen sehen aus wie CUI oder CUI//PRVCY.
• CUI Spezifisch gilt, wenn das autorisierende Gesetz oder die Vorschrift spezifische Handhabungskontrollen enthält, die von den Standardwerten von CUI Basic abweichen. Diese Kategorien tragen ein "SP-" Präfix, wie CUI//SP-CTI.

Der Unterschied liegt in der Quelle der Kontrollen, nicht im Sensitivitätsgrad; CUI Basic schließt alle Lücken, in denen die spezifische Autorität schweigt.

Das NARA CUI-Register ist die autoritative Quelle, die über 125 Kategorien abdeckt. Dort sollten Auftragnehmer hingehen, um die richtige Klassifizierung, Kennzeichnung und Handhabung für alle CUI, die sie antreffen, zu bestimmen.

Häufige Beispiele für CUI

Nicht alle sensiblen Daten sind CUI; sie müssen an eine im CUI-Register aufgeführte Behörde gebunden sein. Hier sind gängige CUI-Beispiele aus den wichtigsten Kategorien:

• Verteidigung (CTI): Kontrollierte technische Informationen (CTI) umfassen technische Schemen, Systemdesign-Dokumente und Quellcode, der für militärische Anwendungen entwickelt wurde und gemäß DFARS 252.204-7012 als CUI//SP-CTI gekennzeichnet ist.
• Exportkontrolle: Technische Zeichnungen für Verteidigungsartikel auf der US-Munitionsliste und technische Daten, die einer Exportgenehmigung unterliegen, fallen unter die Exportkontrollkategorien des CUI-Registers.
• Strafverfolgung: Informationen zu Strafregisterdaten, DNA-Profilen und Identifikationsdaten von Informanten erscheinen unter den CUI-Kategorien, die mit der Strafverfolgung verbunden sind.
• Datenschutz: Sozialversicherungsnummern, Finanzkontonummern, biometrische Daten und HIPAAabgedeckte Gesundheitsinformationen werden unter Datenschutz-/gesundheitsbezogenen CUI-Kategorien behandelt.
• Kritische Infrastruktur:Informationen über Chemieterrorismus-Schwachstellen, Informationen über kritische Energieinfrastruktur und Informationen über Schwachstellen von Informationssystemen erscheinen unter den Kategorien kritische Infrastruktur.

Diese Beispiele sind repräsentativ, nicht endgültig. Validieren Sie immer die spezifische Kategorie, die Autorität und die erforderlichen Kennzeichnungen im CUI-Register und in der Sprache Ihres Vertrags, bevor Sie Handhabungsregeln festlegen.

Wichtige Anforderungen zum Schutz von CUI

Die Sicherung von CUI besteht nicht nur darin, Dateien zu sperren. Es umfasst die Kennzeichnung, physische und digitale Sicherheitsmaßnahmen sowie die Kontrolle, wer auf Informationen zugreifen und sie teilen kann. Jeder dieser Bereiche hat spezifische bundesstaatliche Anforderungen, und eine Lücke in einem von ihnen kann Ihre gesamte Compliance-Position untergraben. Hier ist, was Sie in den drei grundlegenden Schutzsäulen richtig machen müssen.

Kennzeichnung und Etikettierung von CUI

Inkonsistente Markierungen sind eine der schnellsten Möglichkeiten, eine Compliance-Bewertung zu bestehen. Markierungen steuern die gesamte CUI-Handling-Kette: Sie sagen autorisierten Inhabern, wer auf Informationen zugreifen kann, wie sie geteilt werden können und welche Schutzmaßnahmen gelten.

Beispiele für Standardmarkierungen:

• CUI Basis ohne Kategorie: CUI
• CUI Spezifiziert: CUI//SP-CTI
• CUI, das mit Verbreitungssteuerung angegeben ist: CUI//SP-SGI//FEDONLY

In practice, accurate banner markings plus consistent downstream labeling (email subjects, file headers, cover sheets, and repositories) are what keep CUI from leaking into uncontrolled channels.

Jedes CUI-Dokument muss einen Bezeichnungsindikator enthalten, der die zuständige Behörde identifiziert. Die Richtlinien empfehlen auch, CUI-Banner-Markierungen in den Betreffzeilen und Textkörpern von E-Mails anzuwenden, wenn E-Mails CUI enthalten.

Schutz und kontrollierte Umgebungen

CUI muss in kontrollierten Umgebungen mit ausreichenden Zugriffskontrollen und Schutzmaßnahmen gegen unbefugtes Ansehen oder Abhören behandelt werden.

NIST SP 800-171 Rev. 1 legte die Grundlage fest: Der Vertraulichkeitsauswirkungswert für CUI beträgt nicht weniger als das moderate Niveau von FIPS 199. Laut FIPS 199 bedeutet moderat, dass der Verlust der Vertraulichkeit "erwartet werden kann, dass er schwerwiegende nachteilige Auswirkungen auf die organisatorischen Abläufe, die organisatorischen Vermögenswerte oder Einzelpersonen hat."

Organisationen müssen die Grenze ihres CUI-Systems in einem System-Sicherheitsplan (SSP) beschreiben, einschließlich der Betriebsumgebung, wie Anforderungen umgesetzt werden und Verbindungen zu anderen Systemen.

Physische Sicherheitsanforderungen umfassen die Begrenzung des Zugangs auf autorisierte Personen, das Begleiten von Besuchern, das Führen von Zugangsprotokollen und die Durchsetzung von Sicherheitsmaßnahmen an alternativen Arbeitsplätzen.

Zugriffskontrolle und Verbreitungskontrollen

CUI-Zugriff folgt einem klaren Prinzip: Nur autorisierte Benutzer mit einem legitimen Bedarf an Informationen und einer angemessenen Schulung können darauf zugreifen.

NIST SP 800-171 Rev. 3 stärkte das Kontomanagement, um die Definition zulässiger Kontotypen zu verlangen, den Zugriff basierend auf einem gültigen Bedarf und der beabsichtigten Nutzung zu autorisieren und die kontinuierliche Überwachung der Nutzung von Systemkonten sicherzustellen.

Gemäß 32 CFR 2002.16, muss die Verbreitung den Gesetzen entsprechen, die die CUI-Kategorie festgelegt haben, einem rechtmäßigen Regierungszweck dienen und nicht durch eine autorisierte eingeschränkte Verbreitungssteuerung eingeschränkt werden.

Bevor Sie CUI mit externen Parteien teilen, vergewissern Sie sich, dass der Empfänger einen legitimen Bedarf hat, die Informationen zu kennen, die Anforderungen an CUI versteht und die Informationen angemessen schützen kann.

Schulung ist auch hier wichtig. Die FAR CUI-Regelung von Januar 2025 legt fest, dass Auftragnehmer keinen Mitarbeiter mit dem Umgang mit CUI beauftragen dürfen, es sei denn, dieser Mitarbeiter hat eine angemessene Schulung abgeschlossen, und die Auftragnehmer müssen auf Anfrage Nachweise über die Schulung vorlegen.

CUI und Cybersecurity-Rahmen

CUI-Schutzverpflichtungen existieren nicht im Vakuum. Sie befinden sich innerhalb eines geschichteten Stapels von bundesstaatlichen Cybersicherheitsrahmen, die politische Anforderungen in spezifische, prüfbare Sicherheitskontrollen übersetzen.

Zu verstehen, wie diese Rahmenbedingungen miteinander verbunden sind, ist entscheidend für den Aufbau einer konformen Umgebung, insbesondere wenn verschiedene Verträge auf unterschiedliche Revisionen oder Baselines verweisen.

NIST SP 800-171 und CUI

NIST SP 800-171 übersetzt die Verpflichtungen zum Schutz von CUI in spezifische Sicherheitsanforderungen für nicht-föderale Systeme. Die aktuelle Version, Rev. 3, enthält 97 Sicherheitsanforderungen in 17 Kontrollfamilien. Rev. 2 hatte 110 Anforderungen in 14 Familien.

Schlüsselbereiche, die die Handhabung von CUI direkt beeinflussen, sind:

• Zugangskontrolle: Kontoverwaltung, geringste Berechtigung, Trennung der Aufgaben, Informationsflusskontrolle
• Audit und Verantwortung: Auditprotokolle, die Ereignistyp, Zeitpunkt, Quelle, Ergebnis und Identität erfassen; Aufbewahrung gemäß den Anforderungen der Organisation und des Vertrags
• Vorfallreaktion: operative Handlungsfähigkeit, Nachverfolgung und Tests in einem von der Organisation definierten Intervall
• Medien Schutz: Sanitärmaßnahmen vor der Entsorgung, kryptografischer Schutz während des Transports

Zusammen genommen definieren diese Bereiche die täglichen operativen Kontrollen, nach denen Auditoren suchen, wenn sie bewerten, ob die Handhabung von CUI tatsächlich durchgesetzt wird und nicht nur dokumentiert ist.

FIPS 199 Auswirkungen und CUI

Die Compliance-Kaskade funktioniert so: FIPS 199 kategorisiert die Auswirkungen, FIPS 200 legt die minimalen Sicherheitsanforderungen fest, und die Auswahl der Kontrollen erfolgt aus den NIST-Sicherheitskontrollbaselines. Diese Baselines werden dann für nicht-föderale Organisationen, die CUI bearbeiten, in NIST SP 800-171 angepasst.

Die praktischen Auswirkungen sind erheblich:

• Cloud-Hosting: Für CUI-Systeme in Cloud-Umgebungen wird FedRAMP Moderate allgemein als die minimal angemessene Basislinie für Informationssysteme mit moderatem Einfluss betrachtet.
• Verschlüsselung: Kryptografische Module müssen FIPS 140-2 validiert sein und dürfen nicht nur FIPS-zugelassene Algorithmen verwenden. Die CMVP-Richtlinien des NIST weisen auch darauf hin, dass nicht validierte Kryptografie als schutzlos angesehen wird.
• Netzwerkschutz: Die moderate Basis umfasst den Zugriffsschutz, den Grenzschutz, die Netzwerktrennung, die Vertraulichkeit und Integrität der Übertragung sowie die Netzwerküberwachung.

Für CUI, die mit kritischen Programmen oder Hochwertigen Vermögenswerten verbunden sind, bietet der NIST SP 800-172 verbesserte Sicherheitsanforderungen, die jedoch nur gelten, wenn sie ausdrücklich in der Vertragsprache festgelegt sind.

Best Practices für den sicheren Umgang mit CUI

Die folgenden Best Practices übersetzen die Compliance-Verpflichtungen für CUI in konkrete Schritte, auf die Ihr Team handeln kann, von der anfänglichen Datenerfassung über die Zugriffsverwaltung, Verschlüsselung und Vorfallreaktion.

1. CUI genau identifizieren und klassifizieren

Only federal agencies can designate information as CUI. When contractors encounter potentially unmarked CUI, they should report it to the contracting officer for official determination, not mark it themselves. The FAR CUI rule requires reporting the discovery of potential CUI within eight hours.

Beginnen Sie mit einer Überprüfung von Vertrag zu Vertrag. Ordnen Sie die in jedem Vertrag angegebenen CUI-Kategorien Ihren tatsächlichen Informationsflüssen zu. Häufige Scope-Fehler sind:

• Fehlende Systeme: Systeme übersehen, die CUI außerhalb Ihrer primären Umgebung verarbeiten
• Drittanbieter-Blindstellen: die Dienstleister, die in Ihrem Auftrag mit CUI arbeiten, nicht zu berücksichtigen
• Shadow IT: vergessend über Kollaborationstools und Cloud-Dienste, wo CUI enden könnte

Schulung ist ebenso wichtig und sollte auf drei Ebenen stattfinden:

• Universelles Bewusstsein: für jeden, der möglicherweise auf CUI stößt
• Rollenspezifisches Training: für Mitarbeiter, die regelmäßig mit CUI umgehen
• Fortgeschrittene technische Schulung: für Systemadministratoren, die CUI-Umgebungen verwalten

Diese Investition in Schulungen ist entscheidend, da der menschliche Faktor eine der größten Schwachstellen bleibt; laut dem Netwrix 2024 Hybrid Security Trends Report, geben 47 % der IT-Profis an, dass Mitarbeiterfehler und Nachlässigkeit eine große Sicherheitsherausforderung darstellen.

Die Herausforderung der Entdeckung ist ebenso weit verbreitet; eine Umfrage von 2025 SANS Attack Surface Management (ASM) die von Netwrix gesponsert wurde, ergab, dass nur 28 % der Organisationen glauben, dass ihre ASM-Plattformen sensible Dateien effektiv identifizieren, während weitere 41 % sagen, dass sie dies nur teilweise tun.

Hier ist der Punkt, an dem Werkzeuge einen echten Unterschied machen. Zum Beispiel, First National Bank Minnesota verwendete Netwrix Auditor und Netwrix Data Classification, um sensible Daten zu entdecken, zu klassifizieren und an sichere Orte zu verschieben, und schloss einen Active Directory-Neubau in 3 Wochen statt in 6 Monaten ab.

2. Den Zugriff auf Objektebene steuern

Folder-level and site-level permissions aren't granular enough for CUI. NIST SP 800-171 acknowledges that access enforcement mechanisms can be implemented at the application and service levels to increase protection for CUI.

Die attributbasierte Zugriffskontrolle (ABAC), wie sie im NIST SP 800-162 definiert ist, bewertet die Attribute des Benutzers, der Daten und der Umgebung im Vergleich zu den definierten Richtlinienregeln bei jeder Zugriffsanforderung. Der Vorteil für CUI ist das dynamische Mindestprivileg:

• Rollenänderungen: wenn sich die Missionszuweisung einer Person ändert, wird ihr Zugriff auf nicht mehr benötigte CUI automatisch durch aktualisierte Subjektattribute widerrufen
• Änderungen der Klassifizierung: wenn sich die Datenklassifizierung ändert, passen sich die Zugriffsrestriktionen für alle betroffenen Benutzer ohne manuelle Neukonfiguration an

3. CUI während der Übertragung und im Ruhezustand verschlüsseln

NIST SP 800-171 verlangt eine Verschlüsselung für CUI, die außerhalb kontrollierter Umgebungen übertragen oder gespeichert wird. Innerhalb geschützter Umgebungen können andere Sicherheitsmaßnahmen die Anforderung erfüllen, aber jede CUI, die diese Grenze verlässt, muss verschlüsselt werden

Die kritische Anforderung ist, dass die Verschlüsselungsmodule FIPS 140-2 validiert sein müssen, mit dokumentierten Zertifikatsnummern. Allein die Verwendung von AES-256 reicht nicht aus, wenn das spezifische Modul nicht das Validierungsprogramm für kryptografische Module des NIST durchlaufen hat.

Das Schlüsselmanagement verdient die gleiche Aufmerksamkeit, daher sollte es als grundlegende Infrastruktur behandelt werden und nicht als nachträglicher Gedanke.

4. Überwachen, protokollieren und auf Vorfälle reagieren

NIST SP 800-171 erfordert Prüfprotokolle, die den Ereignistyp, den Zeitpunkt, den Ort, die Quelle, das Ergebnis und die zugehörige Identität erfassen. Einzelne Benutzeraktionen müssen eindeutig nachverfolgbar sein, und die Aufbewahrung von Prüfprotokollen sollte mit den von der Organisation und dem Vertrag definierten Anforderungen übereinstimmen.

Bei der Incident Response werden die Fristen enger. Je nach Ihrem Sektor gelten unterschiedliche Berichtspflichten:

• FAR CUI-Regel: ein achtstündiges Zeitfenster für die Meldung von verdächtigen oder bestätigten CUI-Vorfällen
• DFARS 252.204-7012: DoD-Auftragnehmer berichten über DIBNet
• CIRCIA: kritische Infrastruktureinrichtungen müssen innerhalb von 72 Stunden an CISA berichten

Die Einhaltung dieser Fristen erfordert forensische Fähigkeiten und vorab festgelegte Untersuchungsverfahren, nicht nur Erkennung.

Die Korrelation von Aktivitätsdaten mit Zugriffsberechtigungen zahlt sich hier aus. In der realen Welt kann selbst ein einziger verdächtiger Anstieg bei Dateiänderungen zu einem mehrtägigen Durcheinander führen, wenn Ihr Team Antworten aus getrennten Protokollen zusammenstellen muss.

Wie Netwrix Organisationen hilft, CUI zu schützen

Kein einzelner Prozess oder Checkliste sorgt dafür, dass die CUI-Konformität über Nacht erreicht wird. Die Herausforderung für Auftragnehmer besteht darin, die Verbindungen zwischen der Datenerkennung, der Zugriffsverwaltung und der Auditbereitschaft herzustellen, ohne voneinander getrennte Tools zusammenzufügen, die Lücken hinterlassen, die ein Prüfer finden wird.

Wenn Ihre Umgebung auf Microsoft-Infrastruktur mit einer Mischung aus lokalen Datei-Servern, Active Directory und Microsoft 365 läuft, benötigen Sie eine Plattform, die all dies von einem Ort aus abdeckt.

Die 1Secure-Plattform bietet automatisierte Entdeckung über Dateisysteme, Datenbanken, Kollaborationsplattformen und Cloud-Speicher, damit Sie CUI-relevante Daten finden können, bevor ein Prüfer dies tut.

Es kann sensible Dateien an unsicheren Standorten quarantänisieren, sie in sichere Bereiche verschieben, übermäßige Berechtigungen entfernen und Klassifizierungstags in Dateien einbetten und Wochen manueller Bestandsaufnahme in einen automatisierten, wiederholbaren Prozess verwandeln.

Aber allein die Entdeckung reicht nicht aus. Die schwierigere Frage ist: Wer kann auf diese Daten zugreifen, ist dieser Zugriff angemessen und können Sie es beweisen? Die 1Secure-Plattform berichtet über überexponierte sensible Datenobjekte, detaillierte Berechtigungsstrukturen für klassifizierte Inhalte und Aktivitäten im Zusammenhang mit sensiblen Dateien und Ordnern.

Das bedeutet, dass Sie identifizieren können, wo CUI mit übermäßigen Berechtigungen sitzt, und beheben können, bevor es zu einem Prüfungsbefund wird.

Netwrix Endpoint Protector erweitert diesen Schutz auf die Endpoint-Ebene und verhindert, dass CUI kontrollierte Umgebungen über nicht autorisierte Kanäle verlässt. Es blockiert Übertragungen an nicht genehmigte USB-Geräte, überwacht und steuert Uploads über Browser, E-Mail-Clients und Cloud-Speicheranwendungen. Es erzwingt auch die Verschlüsselung auf genehmigten Wechseldatenträgern und geht direkt auf die Exfiltrationsrisiken ein, die die Anforderungen an den Umgang mit CUI verhindern sollen.

Fertige Compliance-Berichte zeigen, wer auf Daten zugegriffen hat, was sich geändert hat und wann, während die interaktive Suche Ihnen hilft, die Fragen der Prüfer in Minuten statt in Tagen zu beantworten.

Fordern Sie eine Netwrix-Demo an um zu sehen, wie eine Plattform Ihnen hilft, CUI in Ihrer hybriden Umgebung zu entdecken, zu schützen und die Einhaltung nachzuweisen.