Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
DoD Cybersecurity-Anforderungen: Tipps zur Einhaltung

DoD Cybersecurity-Anforderungen: Tipps zur Einhaltung

Sep 28, 2022

Die IT-Systeme und Daten des Verteidigungsministeriums (DoD) und seines Netzwerks von Auftragnehmern sind eine Angelegenheit der nationalen Sicherheit. Dementsprechend hat das DoD Cybersicherheitsanforderungen festgelegt, die Organisationen erfüllen müssen, um ein zugelassener Lieferant für das DoD zu sein.

Dieser Artikel bietet einen Überblick über die relevantesten Dokumente, die die Cybersicherheitserwartungen des DoD für Organisationen der Verteidigungsindustriebasis (DIB) darlegen, eine Bewertung nützlicher Rahmenwerke und Tipps zur Implementierung der Anforderungen des DoD.

Ausgewählte verwandte Inhalte:

Was sind die Cybersicherheitsanforderungen des DoD?

Die Anforderungen an die Cybersicherheit finden sich in den folgenden drei Dokumenten, die sich gegenseitig unterstützen und aufeinander Bezug nehmen:

  • Defense Federal Acquisition Regulation Supplement (DFARS) — Klausel 252.204-7012 skizziert die Erwartungen an die Cyber-Hygiene für Organisationen des Verteidigungsindustriebasis (DIB).
  • NIST 800-171 — Basierend auf DFARS, NIST 800-171 bietet detaillierte Richtlinien für Unternehmen zur Bewertung ihrer Cybersicherheitspraktiken.
  • CMMC — Das CMMC bietet einen klaren Plan für DIB-Organisationen, um die für anerkannte DoD-Lieferanten erforderliche Zertifizierung der Cyber-Hygiene zu erlangen.

DFARS

DFARS legt die Anforderungen für Unternehmen fest, die Geschäfte mit dem Verteidigungsministerium durchführen. Cybersecurity wird unter clause 252.204-7012, „Safeguarding Covered Defense Information and Cyber Incident Reporting.“ behandelt.

Welche Arten von Daten müssen geschützt werden?

Die Cybersicherheitsanforderungen des DoD schützen zwei Haupttypen von digitalen und physischen Aufzeichnungen: Controlled Unclassified Information (CUI) und Federal Contract Information (FCI)

CUI umfasst Folgendes:

  • Persönlich identifizierbare Informationen (PII)
  • Proprietary Business Information (PBI)
  • Nicht klassifizierte kontrollierte technische Informationen (CTI)
  • Nur für den Dienstgebrauch (FOUO)

FCI umfasst die Details eines Vertrags zwischen der Regierung und einer Organisation. FCI beinhaltet keine Informationen, die bereits öffentlich bekannt sind (wie die auf Regierungswebsites) oder Transaktionsinformationen. PCI ist niemals für die öffentliche Freigabe vorgesehen.

Organisationen, die mit dem DoD zusammenarbeiten möchten, müssen in der Lage sein, die CUI und FCI, die sie speichern und verarbeiten, zu identifizieren, damit sie diese gemäß den Anforderungen des DoD schützen können.

Wer muss konform sein?

Während die Standards des DoD allgemein nützliche Richtlinien für die Cybersicherheit bieten, sind sie für einige Unternehmen eine Anforderung. Jeder Auftragnehmer, der mit dem DoD zusammenarbeitet und CUI speichert, verarbeitet oder weitergibt, muss die DFARS-Standards einhalten. Dies beinhaltet die Sicherstellung, dass alle unklassifizierten DoD-Daten mit angemessenen Schutzmaßnahmen gesichert sind, Systemanfälligkeiten und potenzielle Folgen eines Verstoßes minimiert werden und gute Praktiken der Vorfallberichterstattung umgesetzt werden.

NIST 800-171

Als Reaktion auf DFARS entwickelte das National Institute of Standards and Technology (NIST) NIST 800-171, um eine detaillierte Aufschlüsselung der besten Praktiken für Cyberhygiene bereitzustellen. Speziell ist NIST 800-171 dazu gedacht, DoD-Vertragspartnern beim Schutz von CUI-Daten zu helfen. Es deckt jedoch nicht den Schutz von FCI-Daten ab.

NIST 800-171 Kontrollfamilien

NIST 800-171 unterteilt Sicherheitskontrollen in die folgenden 14 Familien:

1. Zugriffskontrolle

Überwachen Sie alle Zugriffsereignisse innerhalb eines Systems und beschränken Sie den Zugriff jedes Benutzers auf Systeme und Daten auf das für seine Arbeit erforderliche Minimum.

2. Bewusstsein und Schulung

Stellen Sie sicher, dass das Personal ausreichend in Sicherheitsrichtlinien, -praktiken und -risiken geschult wird, die ihrem Zugriffsprivileg entsprechen. Schulen Sie regelmäßig, damit die Benutzer darauf vorbereitet sind, auf Bedrohungen zu reagieren.

3. Audit und Rechenschaftspflicht

Führen Sie ordnungsgemäße Audit-Protokolle, Protokollverwaltungspraktiken und Audit-Berichterstattung durch. Beschränken Sie den Zugriff auf Auditsysteme.

4. Konfigurationsmanagement

Konfigurieren Sie Hardware und Software, um den Zugriff auf nicht wesentliche Funktionen und Programme zu beschränken und die Installation nicht autorisierter Software zu verhindern.

5. Identifikation und Authentifizierung

Verhindern Sie unbefugte Nutzung von Systemen durch Implementierung von Multifaktor-Authentifizierung (MFA) und starken Passwortrichtlinien.

6. Incident Response

Entwickeln und testen Sie Verfahren, um eine schnelle Erkennung und Reaktion auf Bedrohungen zu gewährleisten.

7. Wartung

Führen Sie Systemwartungen durch, um die Offenlegung von CUI zu verhindern. Überwachen Sie Mitarbeiter, verhindern Sie die Nutzung von Geräten mit CUI außerhalb des Unternehmens und überprüfen Sie Medien auf Schadsoftware.

8. Medienschutz

Kontrollieren Sie den Zugang, Schutz und die Entsorgung von Medien, die CUI enthalten. Verwenden Sie Kryptographie, um digitale Daten zu schützen.

9. Physischer Schutz

Verhindern Sie physische Schäden an Hardware, Software, Netzwerken und Daten, indem Sie den Zugang beschränken und Audit-Protokolle führen

10. Personalsicherheit

Überwachen Sie die Aktivitäten der Benutzer, insbesondere bei Personalwechsel.

11. Risikobewertung

Führen Sie Schwachstellentests von Systemen durch und bewerten Sie häufig die potenziellen Risiken für Ihre Organisation.

12. Sicherheitsbewertung

Definieren Sie Systemgrenzen und implementieren Sie einen Plan zur Reduzierung von Schwachstellen. Verfeinern Sie Sicherheitsanforderungen regelmäßig.

13. System- und Kommunikationsschutz

Sichern Sie die Kommunikation von CUI. Verwenden Sie separate Netzwerke oder Subnetze für ungeschützte Informationen und setzen Sie die Standardwerte auf Netzwerkkommunikation verweigern (Whitelisting).

14. System- und Informationsintegrität

Schnell Systemfehler identifizieren. Sofort auf Sicherheitsverletzungen und Systemfehler reagieren. Sicherheitssoftware aktualisieren, sobald neue Versionen veröffentlicht werden.

Weitere Details zu den NIST 800-171-Kontrollen finden Sie hier.

Ausgewählte verwandte Inhalte:

NIST-Updates

NIST 800-171 wurde 2015 erstellt und erhält regelmäßige Aktualisierungen. Jedes Mal, wenn ein Update erfolgt, haben Auftragnehmer eine festgelegte Frist, um die Einhaltung der neuen Vorschriften zu erreichen oder riskieren, ihren genehmigten Lieferantenstatus beim DoD zu verlieren.

CMMC

Während die DFARS-Klausel bewährte Verfahren für die Unternehmens-Cybersicherheit beschreibt, bewertet die Cybersecurity Maturity Model Certification (CMMC) die Qualität der Cybersicherheitsprogramme einer Organisation und bietet eine Reihe von Zertifizierungen, die diese Qualität bezeugen. Diese Zertifizierungen standardisieren die Genehmigung von DoD-Anbietern. CMMC-Zertifizierungen gelten sowohl für FCI- als auch für CUI-Daten.

Wer muss sich an CMMC halten?

CMMC-Standards gelten für alle Organisationen, die vom DoD Finanzmittel erhalten, um Geschäfte zu tätigen oder Dienstleistungen zu erbringen. Als Verteidigungsindustriekomplex bezeichnet, umfasst dies über 300.000 Organisationen, die Waren oder Dienstleistungen für das DoD bereitstellen.

CMMC-Zeitplan

Fast jeder, der die Entwicklung des CMMC verfolgt hat, hat Fragen zum Zeitplan. Nach Version 1.0 und den anschließenden „vorläufigen Regeln“ für den CMMC wurde die zweite Version der Zertifizierung im November 2021 veröffentlicht. Sie ist jedoch noch nicht in Kraft getreten; CMMC 2.0 befindet sich immer noch im Regelsetzungsprozess, der bis zu zwei Jahre dauern könnte.

Das bedeutet nicht, dass die Zertifizierungsstandards für Unternehmen keine Priorität haben sollten. Auftragnehmer priorisieren die Einhaltung der neuen Standards innerhalb ihrer Lieferketten in der Hoffnung, einen Vorsprung zu erlangen. Die Einhaltung von CMMC 2.0 wird Ihr Unternehmen auch an die NIST 800-171 Richtlinien angleichen.

CMMC-Compliance-Stufen

Das US-Verteidigungsministerium (DoD) hat zwischen CMMC 1.0 und 2.0 mehrere Änderungen vorgenommen, um die Compliance-Ebenen zu vereinfachen. Die erste Version hatte fünf Ebenen mit unterschiedlichen Standards für Bewertungen. In Version 2.0 gibt es drei Ebenen der CMMC-Compliance, abhängig von der Art der Daten und der Intensität des Vertrags mit dem DoD. Die verschiedenen Ebenen haben unterschiedliche Erwartungen an die Bewertungen. Für weitere Details zu den Compliance-Ebenen von CMMC 2.0 siehe die untenstehende Tabelle.

Level

Bewertungstyp

Wer muss sich konform verhalten

Stufe 1. Grundlegend

JährlicheSelbstbewertungen Selbstbewertungen

Unternehmen, die ausschließlich mit FCI zu tun haben

Stufe 2. Fortgeschritten

Drittprüfungen alle drei Jahre und jährliche Selbst-DrittprüfungenBewertungen

Unternehmen, die CUI verarbeiten

Stufe 3. Experte

Zusätzliche, von der Regierung geführte Bewertungen alle drei Jahre

In einzelnen DoD-Verträgen festgelegt

Wie man die CMMC einhält

Die Einhaltung des CMMC erfordert die Befolgung der 17 Standardsätze. Dazu gehören die 14 Kontrollfamiliengruppen aus NIST 800-171, die oben überprüft wurden, sowie die folgenden drei zusätzlichen Gruppen:

Zusätzlicher Bereich

Beschreibung

Wiederherstellung

Erstellen Sie einen Wiederherstellungsplan für den Fall einer data breach oder eines Verlusts.

Situationsbewusstsein

Verstehen Sie Ihre IT-Umgebung, um Cyberbedrohungen effizient zu erkennen und angemessen darauf zu reagieren.

Asset Management

Identifizieren Sie Vermögenswerte, insbesondere CUI-Daten, und definieren Sie Ihre Verfahren für den Umgang und die Klassifizierung dieser Vermögenswerte.

Für Unterstützung laden Sie diese CMMC compliance starter checklist herunter.

DoD Frameworks

Als stellvertretender CIO oder CISO einer mit dem DoD verbundenen Organisation finden Sie die Anforderungen von DFARS, NIST und dem CMMC möglicherweise überwältigend. Aber es gibt eine Fülle von Ressourcen, die Ihnen helfen können, die DoD-Cybersicherheitskonformität zu erreichen, wie diese Zusammenstellung von Referenzmaterial. Unten bieten wir nützliche Ressourcen, um Ihnen bei vielen kritischen Aspekten der Konformität zu helfen.

Entwicklung einer Cybersecurity-Strategie

Organisationen sollten eine 4- bis 5-jährige Cybersecurity-Strategie entwickeln, die es ihnen ermöglicht, Prozesse zu modifizieren und Kontrollen zu implementieren. Die folgenden Ressourcen können Ihnen helfen, eine solide Cybersecurity-Strategie zu erstellen:

Aufbau von verteidigungsfähigen Netzwerken

Der Aufbau eines verteidigungsfähigen Netzwerks erfordert die Implementierung von Überwachung, Automatisierung, Bedrohungserkennung und Werkzeugen und Prozessen für das Incident-Response. Die folgenden Ressourcen können dabei helfen:

  • FIPS 199 — Stellt standardisierte Kategorien für föderale Informationssysteme basierend auf ihrem Risikolevel bereit, was Ihnen helfen kann, Prioritäten für Ihre Sicherheitsstrategie festzulegen
  • FIPS 200 – Definiert Mindestsicherheitsanforderungen abhängig vom Risikolevel der Informationen und erläutert den Prozess zur Auswahl von Sicherheitskontrollen basierend auf dem Risikolevel Ihrer Informationen
  • NIST SP 800-53 — Stellt einen Katalog von Sicherheits- und Datenschutzkontrollen für föderale Informationssysteme und Organisationen sowie einen Prozess zur Auswahl geeigneter Kontrollen bereit

Etablierung des Schutzes kritischer Infrastrukturen

Der Schutz kritischer Infrastrukturen (CIP) bezieht sich auf eine umfassende Strategie zur Schaffung widerstandsfähiger Systeme, Netzwerke und Datenbanken. Dies umfasst die Prävention von Schäden und den Schutz von Daten sowie die Minderung von Vorfällen, Reaktion und Wiederherstellung. Es gibt viele Ressourcen für CIP-Pläne und -Richtlinien, die CIOs und CISOs unterstützen können. Zum Beispiel bieten die ISA/IEC 62443-Standards Sicherheitswerkzeuge und bewährte Verfahren für Anlagenbetreiber, Dienstleister und Lieferanten.

Zugriffsverwaltung

Die folgenden Ressourcen können Ihnen dabei helfen, den Zugriff auf Ihre Daten, Anwendungen und andere IT-Ressourcen ordnungsgemäß zu verwalten:

  • NIST SP 800-60 — Informiert über Zugriffsmanagement-Praktiken, indem es Anleitungen zur Kategorisierung von Informationen als CUI bietet und kontrolliert, wer darauf Zugriff hat
  • NIST SP 800-133 — Hilft Ihnen dabei, sensible Daten mit genehmigten kryptografischen Algorithmen zu schützen

Informationen teilen

Das Teilen von Informationen über Cyberbedrohungen und Angreifer ist entscheidend, um die Cybersicherheit zu stärken. Die folgenden Ressourcen können dabei helfen.

  • DoD Cyber Exchange — Bietet Anleitung und Training für Cyber-Experten innerhalb und außerhalb des DoD

Aufbau einer Belegschaft für Cybersicherheit

Die folgenden Ressourcen können Ihnen beim Onboarding, Qualifizieren und Verwalten von Personen helfen, die in der IT oder Cybersicherheit arbeiten:

  • NIST SP 800-16 — Bietet Konzepte für IT-Sicherheitsschulungen im modernen Cyberspace und ermöglicht gleichzeitig Flexibilität für zukünftige Software und Technologien
  • NIST SP 800-100 — Bietet Leitlinien für Manager zur Einrichtung eines Informationssicherheitsprogramms

Tipps für eine sichere Cyberumgebung

Das National Cybersecurity and Communication Integration Center (NCCIC) hat sieben Schlüsselstrategien zusammengestellt, um mit der Einhaltung der Cyber-Hygiene-Standards des DoD zu beginnen:

  • Verwenden Sie Anwendungs-Whitelisting (AWL) — Definieren Sie eine Liste von genehmigter Software und blockieren Sie alles andere. Dies ist weitaus effektiver, als zu versuchen, jede unerwünschte Anwendung auf die Schwarze Liste zu setzen.
  • Praktizieren Sie eine ordnungsgemäße Konfiguration und Patch-Management — Implementieren Sie sichere Basis-Konfigurationen und korrigieren Sie Abweichungen umgehend. Stellen Sie sicher, dass kritische Updates zeitnah angewendet werden.
  • Stärken Sie Ihre Netzwerksicherheit — Minimieren Sie die potenziellen Eintrittspunkte für Angreifer und segmentieren Sie Ihr Netzwerk in mehrere Enklaven, um Angreifer zu isolieren.
  • Implementieren Sie die Multifaktor-Authentifizierung — Verwenden Sie MFA, insbesondere für Konten mit Privileged Access Management zu CUI.
  • Sicherer Fernzugriff — Steuern Sie den Fernzugriff mit MFA und von Operatoren kontrollierten und zeitlich begrenzten Standards. Suchen Sie regelmäßig nach versteckten Hintertüren, die Angreifern den Fernzugriff auf ein System ermöglichen könnten.
  • Überwachen Sie Systeme kontinuierlich — Um die Bedrohungserkennung und -reaktion zu beschleunigen und Verantwortlichkeit zu gewährleisten, implementieren Sie kontinuierliches Monitoring mit Threat Intelligence für IP-Verkehr an den Grenzen von ICS, IP-Verkehr im Netzwerk und Aktivitäten von Admin-Konten.
  • Erstellen und testen Sie regelmäßig einen Incident-Response-Plan – Erstellen Sie einen umfassenden Reaktionsplan für Sicherheitsvorfälle. Reaktionsmaßnahmen können das Trennen aller Geräte vom Internet, das Deaktivieren bestimmter Konten, das Isolieren von Netzwerksegmenten, die Durchführung einer Malware-Suche und das sofortige Anfordern eines Passwort-Resets umfassen. Testen und überarbeiten Sie den Plan in regelmäßigen Abständen.
  • Entwickeln Sie eine Cybersicherheits-Bewertungskarte gemäß den Standards und Rahmenwerken des DoD — Eine Bewertungskarte wird Ihnen helfen, Ihren Fortschritt hin zu einer stärkeren Cybersicherheit zu messen.

Wie Netwrix helfen kann

Die Einhaltung und Aufrechterhaltung der Cybersicherheitsstandards des DoD ist notwendig, um einen Platz auf der Liste der zugelassenen Lieferanten der Regierung zu erhalten. Netwrix solutions bieten einen ganzheitlichen Ansatz für die Herausforderungen der Cybersicherheit, indem sie Ihre Organisation über alle primären Angriffsflächen hinweg sichern: Daten, Identität und Infrastruktur.

Erfahren Sie mehr über unsere Top-Lösungen:

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Kevin Joyce

Direktor für Product Management

Director of Product Management bei Netwrix. Kevin hat eine Leidenschaft für Cybersicherheit, insbesondere das Verständnis der Taktiken und Techniken, die Angreifer nutzen, um Umgebungen von Organisationen auszunutzen. Mit acht Jahren Erfahrung im Produktmanagement, mit Schwerpunkt auf Active Directory und Windows-Sicherheit, hat er diese Leidenschaft genutzt, um Lösungen für Organisationen zu entwickeln, die ihre Identitäten, Infrastruktur und Daten schützen helfen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen