Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Cybersecurity-Glossar Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Was ist CMMC? Leitfaden für Cybersecurity-Zertifizierung & Compliance

Was ist CMMC? Leitfaden für Cybersecurity-Zertifizierung & Compliance

Apr 18, 2025

CMMC ist ein von der U.S. DoD gefordertes Compliance-Framework für Cybersicherheit. Es definiert drei Reifegrade (Foundational, Advanced, Expert) basierend auf der Sensibilität der verarbeiteten Daten (FCI, CUI). Das Framework entspricht den NIST-Standards (800-171, 800-172) und fordert Bewertungen durch Dritte oder staatlich geleitete Prüfungen.


Was ist CMMC?

Das Cybersecurity Maturity Model Certification (CMMC) ist ein vom US-Verteidigungsministerium (DoD) entwickeltes Rahmenwerk, um die Cybersicherheitslage von Unternehmen innerhalb der Defense Industrial Base (DIB) zu verbessern. Es legt Sicherheitsanforderungen fest, die Auftragnehmer erfüllen müssen, um Controlled Unclassified Information (CUI) und Federal Contract Information (FCI) vor Cyberbedrohungen zu schützen.

Das CMMC-Framework integriert Sicherheitsstandards von NIST SP 800-171, NIST SP 800-53, ISO 27001, DFARS 252.204-7012 und anderen Vorschriften in ein gestuftes Modell, um sicherzustellen, dass Verteidigungsunternehmer die notwendigen Cybersicherheitspraktiken einhalten, bevor sie mit dem DoD zusammenarbeiten.

Warum CMMC erstellt wurde

CMMC wurde eingeführt, um Cybersicherheitslücken in der Verteidigungslieferkette anzusprechen und sicherzustellen, dass alle Auftragnehmer, die sensible Daten des DoD verarbeiten, strikte Cybersicherheitsprotokolle befolgen. Zu den Hauptgründen für seine Einführung gehören:

  • Die Notwendigkeit, die Cybersicherheit im gesamten DIB gegen wachsende Cyberbedrohungen zu stärken
  • Das Scheitern von Organisationen bei der ordnungsgemäßen Implementierung von NIST SP 800-171 führt zu Sicherheitslücken
  • Wunsch nach verbesserter Rechenschaftspflicht durch Drittprüfung der Cybersicherheitsbereitschaft
Rolle des DoD bei der Einhaltung der Cybersicherheitsvorschriften

Das US-Verteidigungsministerium spielt eine zentrale Rolle bei der Einhaltung von Cybersicherheitsvorschriften durch:

  • Definition von Cybersicherheitsstandards — Das US-Verteidigungsministerium (DoD) legt Richtlinien wie CMMC, NIST SP 800-171 und DFARS (Defense Federal Acquisition Regulation Supplement) fest.
  • Durchsetzung der Compliance — Das US-Verteidigungsministerium (DoD) schreibt vor, dass alle Verteidigungsunternehmer die Anforderungen an die Cybersicherheit erfüllen müssen, bevor ihnen Aufträge erteilt werden können.
  • Durchführung von Audits & Bewertungen — Das US-Verteidigungsministerium arbeitet mit CMMC-Drittprüfungsorganisationen (C3PAOs) zusammen, um die Cybersicherheitsbereitschaft von Auftragnehmern zu bewerten.
  • Bereitstellung von Anleitung & Ressourcen — Das US-Verteidigungsministerium gibt Cybersicherheitsrichtlinien heraus und finanziert Programme, um kleinen und mittleren Unternehmen die Einhaltung der CMMC-Standards zu erleichtern.
  • Überwachung & Reaktion auf Cyberbedrohungen — Das Verteidigungsministerium koordiniert mit Behörden wie der NSA, CISA und dem FBI, um Bedrohungen für die Lieferkette der Verteidigung zu mindern.

Ausgewählte verwandte Inhalte:

Die Entwicklung des CMMC: Vom Konzept zu CMMC 2.0

Vor CMMC mussten Verteidigungsunternehmer die Sicherheitskontrollen von NIST SP 800-171 befolgen. Es gab jedoch keine unabhängige Überprüfung, um zu bestätigen, dass die Cybersicherheitsmaßnahmen ordnungsgemäß implementiert wurden; die Unternehmer mussten lediglich ihre Einhaltung selbst bescheinigen. Infolgedessen haben viele Unternehmer die erforderlichen Sicherheitskontrollen nicht vollständig umgesetzt, und die Anzahl der Cyberangriffe in der Lieferkette der Verteidigung stieg weiter an.

Um diese Probleme anzugehen, führte das DoD 2019 CMMC ein. Es zielte darauf ab, sensible Verteidigungsdaten besser zu schützen, indem es Cybersicherheitspraktiken für alle DoD-Auftragnehmer standardisierte und die Rechenschaftspflicht verbesserte, indem es eine unabhängige Überprüfung der Einhaltung forderte.

Wesentliche Änderungen in CMMC 2.0

Im November 2021 überarbeitete das DoD das ursprüngliche CMMC, um die Einhaltung zu vereinfachen und es zugänglicher zu machen. Die wichtigsten Änderungen in CMMC 2.0 umfassen:

  • Reduzierung von 5 Reifestufen auf 3— Die drei 0 Stufen sind Stufe 1 (Grundlegend), Stufe 2 (Fortgeschritten) und Stufe 3 (Experte).
  • Wiedereinführung von Selbstbewertungen — Einige Organisationen der Stufe 1 und Stufe 2 können nun jährlich Selbstbewertungen durchführen, anstatt eine Zertifizierung durch Dritte zu benötigen. Allerdings benötigen Auftragnehmer, die hochpriorisierte CUI verarbeiten, weiterhin Bewertungen durch Dritte.
  • Flexibilität bei der Behebung — Im Gegensatz zu CMMC 1.0 erlaubt CMMC 2.0 Organisationen, Pläne für Maßnahmen & Meilensteine (POA&Ms) einzureichen, was ihnen Zeit gibt, Mängel zu beheben, während sie gleichzeitig für Verträge berechtigt sind.
  • Beseitigung einzigartiger CMMC-Praktiken — CMMC 1.0 umfasste zusätzliche Cybersicherheitsanforderungen über NIST SP 800-171 hinaus. CMMC 2.0 schafft diese ab und richtet sich nach bestehenden Bundesstandards.
  • Verbesserte Kostenwirksamkeit und Skalierbarkeit — Der optimierte Ansatz reduziert die Kosten für kleine und mittelständische Unternehmen. Unternehmen haben jetzt klarere Richtlinien, was sie umsetzen müssen.

CMMC-Framework und -Struktur

Wie CMMC mit den NIST Cybersecurity Standards übereinstimmt

CMMC stimmt eng mit den bestehenden Cybersecurity-Richtlinien des National Institute of Standards and Technology (NIST) überein, insbesondere:

  • NIST Special Publication (SP) 800-171 — Ein Satz von 110 Sicherheitskontrollen, die die besten Praktiken zum Schutz von CUI definieren
  • NIST SP 800-172 — Erweiterte Sicherheitsanforderungen zum Schutz von CUI in Hochrisikoumgebungen
  • NIST Cybersecurity Framework (CSF) — Ein umfassenderes Rahmenwerk zur Verbesserung des Risikomanagements für Cybersicherheit in verschiedenen Branchen

Die Ausrichtung stellt sicher, dass Organisationen, die bereits NIST 800-171 folgen, einen reibungsloseren Übergang zur CMMC-Konformität haben werden.

Übersicht über die drei CMMC-Reifestufen

CMMC 2.0 definiert drei Reifegrade für Cybersicherheit:

  • Stufe 1 (Grundlegend) konzentriert sich auf grundlegende Praktiken der Cyber-Hygiene.
  • Stufe 2 (Fortgeschritten) schützt CUI, indem fortgeschrittenere Sicherheitspraktiken gefordert werden.
  • Stufe 3 (Experte) richtet sich an Auftragnehmer, die mit den sensibelsten CUI umgehen.

CMMC-Reifestufen und ihre Anforderungen

Level 1: Grundlegende Cybersicherheit

CMMC Level 1 (Foundational) dient als Einstiegspunkt für DoD-Vertragspartner. Es ist für Organisationen konzipiert, die FCI verarbeiten, jedoch keine CUI verarbeiten, speichern oder übertragen. Es legt die grundlegendsten Anforderungen an die Cybersicherheit fest und erfordert nur eine jährliche Selbstbewertung (keine Zertifizierung durch Dritte erforderlich).

Sicherheitsanforderungen

Die CMMC Level 1-Praktiken basieren auf der Federal Acquisition Regulation (FAR) 52.204-21 (Grundlegender Schutz von abgedeckten Auftragnehmerinformationssystemen). Die 17 Sicherheitspraktiken gliedern sich in 6 Domänen, jede mit eigenen Subdomänen:

Domain

Sub-Domain

Zugriffskontrolle (AC)

AC.1.001: Beschränken Sie den Systemzugriff auf autorisierte Benutzer, Geräte und Prozesse.AC.1.002: Authentifizieren oder verifizieren Sie die Identitäten von Benutzern, Prozessen und Geräten, bevor Sie Zugriff gewähren.AC.1.003: Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Transaktionen und Funktionen.

Identifikation und Authentifizierung (IA)

IA.1.076: Identifizieren Sie Benutzer des Informationssystems und authentifizieren Sie deren Identitäten, bevor Sie den Systemzugang gewähren.

Medienschutz (MP)

MP.1.118: Bereinigen oder vernichten Sie FCI vor der Entsorgung. MP.1.121: Beschränken Sie den physischen Zugang zu organisatorischen Informationssystemen, Geräten und Medien.

Physischer Schutz (PE)

PE.1.131: Beschränken Sie den physischen Zugang zu Informationssystemen und Geräten auf autorisierte Personen. PE.1.132: Begleiten Sie Besucher und überwachen Sie deren Aktivitäten. PE.1.133: Führen Sie Protokolle über den physischen Zugang. PE.1.134: Kontrollieren und verwalten Sie physische Zugangsmittel (z.B. Schlüssel, Karten, Ausweise).

System- und Kommunikationsschutz (SC)

SC.1.175: Überwachen, steuern und schützen Sie Daten, die über Netzwerke übertragen werden.SC.1.176: Verwenden Sie Verschlüsselung, um Daten während der Übertragung zu schützen, wo dies erforderlich ist.

System- und Informationsintegrität (SI)

SI.1.210: Identify and correct system flaws in a timely manner.SI.1.211: Provide protection against malicious code (e.g., antivirus software).SI.1.212: Update malware protection mechanisms regularly.SI.1.213: Perform periodic scans of information systems and real-time scans of files downloaded from external sources.
Wer muss die Anforderungen von CMMC Level 1 erfüllen?
  • Organisationen, die FCI verarbeiten, aber kein CUI
  • Organisationen, die als Subunternehmer im DIB arbeiten, aber nicht mit sensiblen Regierungsdaten umgehen
  • Organisationen, die nicht-kritische Waren oder Dienstleistungen für das DoD bereitstellen
Bewertungsanforderungen
  • Organisationen führen eine jährliche Selbstbewertung durch und übermitteln die Ergebnisse dem DoD.
  • Es ist keine Zertifizierung durch Dritte erforderlich, aber die Einhaltung muss dokumentiert werden.
  • Wenn sie für eine Prüfung ausgewählt werden, müssen Organisationen Nachweise für die Implementierung der 17 Sicherheitspraktiken vorlegen.

Stufe 2: Erweiterter Schutz für kontrollierte, nicht klassifizierte Informationen

CMMC Level 2 (Advanced) ist darauf ausgelegt, eine starke Cybersicherheitsposition zu etablieren, um unbefugten Zugriff auf CUI zu verhindern. Es ist erforderlich für Organisationen, die CUI handhaben, verarbeiten, speichern oder übertragen.

Sicherheitsanforderungen

Die 110 Sicherheitskontrollen der Stufe 2 sind in 14 Domänen mit verschiedenen Unterdomänen unterteilt:

Domain

Sub-Domain

1. Zugriffskontrolle (AC)

Implementieren Sie rollenbasierte Zugriffskontrolle (RBAC), um den Zugriff auf CUI zu beschränken. Verwenden Sie Multifaktor-Authentifizierung (MFA) für den Zugriff auf sensible Systeme. Begrenzen Sie den Fernzugriff und die Sitzungszeitlimits, um das Risiko zu minimieren.

2. Bewusstsein und Schulung (AT)

Führen Sie regelmäßige Sicherheitsbewusstseinsschulungen für Mitarbeiter durch, die mit CUI umgehen. Bieten Sie Schulungen zur Identifizierung und Reaktion auf Cyber-Bedrohungen an.

3. Audit und Rechenschaftspflicht (AU)

Aktivieren Sie detailliertes Protokollieren und Überwachen der Systemaktivität. Bewahren Sie Audit-Protokolle auf, um unbefugte Zugriffsversuche nachzuverfolgen.

4. Konfigurationsmanagement (CM)

Durchsetzen sicherer Basis-Konfigurationen für Systeme, die CUI verarbeiten. Überwachen und kontrollieren Sie unautorisierte Softwareinstallationen.

5. Identifikation und Authentifizierung (IA)

Durchsetzen starker Passwörter und MFA für den Systemzugang. Verwalten einzigartiger Benutzeridentitäten, um Systeminteraktionen zu verfolgen.

6. Incident Response (IR)

Entwickeln und implementieren Sie einen Plan für das Reagieren auf Cyber-Vorfälle. Melden und analysieren Sie Sicherheitsvorfälle, die CUI betreffen.

7. Wartung (MA)

Stellen Sie die sichere Wartung von IT-Systemen sicher, einschließlich Updates und Patches. Verfolgen und dokumentieren Sie Systemreparaturen und -änderungen.

8. Medienschutz (MP)

Kontrollieren Sie physische und digitale Medien, die CUI enthalten. Bereinigen Sie CUI-Daten vor der Entsorgung, um Datenlecks zu verhindern.

9. Physischer Schutz (PE)

Implementieren Sie sichere physische Zugangskontrollen für Bereiche zur Speicherung von CUI. Verwenden Sie Besucherüberwachung und Zugangsprotokolle.

10. Personalsicherheit (PS)

Überprüfen Sie Mitarbeiter, bevor Sie Zugang zu CUI gewähren. Stellen Sie sicher, dass CUI von ausscheidenden Mitarbeitern entfernt wird.

11. Risikobewertung (RA)

Führen Sie regelmäßige Risikobewertungen durch, um Cybersecurity-Bedrohungen zu identifizieren. Implementieren Sie Minderungsstrategien, um Schwachstellen zu reduzieren.

12. Sicherheitsbewertung (CA)

Führen Sie Selbstbewertungen und unabhängige Sicherheitsaudits durch. Dokumentieren Sie Sanierungsbemühungen für Sicherheitslücken.

13. System- und Kommunikationsschutz (SC)

Verschlüsseln Sie CUI während der Übertragung und im Ruhezustand. Implementieren Sie Firewalls und sichere Kommunikationsprotokolle.

14. System- und Informationsintegrität (SI)

Überwachen Sie den Netzwerkverkehr auf verdächtige Aktivitäten. Aktualisieren Sie regelmäßig Antiviren- und Intrusion-Detection-Systeme.
Wer muss die Anforderungen von CMMC Level 2 erfüllen?
  • Organisationen, die CUI im Rahmen von DoD-Verträgen handhaben, verarbeiten oder speichern
  • Organisationen, die Teil der DIB-Lieferkette sind
  • Organisationen, die den NIST SP 800-171 Sicherheitsanforderungen entsprechen müssen
Bewertungsanforderungen

CMMC Level 2 erfordert von Auftragnehmern, eine von zwei Bewertungsarten abzuschließen:

  • Eine Bewertung durch Dritte alle 3 Jahre ist für Auftragnehmer erforderlich, die kritische CUI verarbeiten; eine Zertifizierung ist notwendig, um für DoD-Verträge in Frage zu kommen.
  • Selbstbewertung (jährlich) ist für nicht priorisierte Auftragnehmer mit geringeren Sicherheitsrisiken erlaubt. Ergebnisse müssen dem Supplier Performance Risk System (SPRS) gemeldet werden.

Stufe 3: Experten-Level Cybersecurity für Hochrisiko-Auftragnehmer

CMMC Level 3 (Experte) repräsentiert die höchste Stufe der Cybersicherheitsreife im CMMC 2.0-Rahmenwerk. Es ist für Auftragnehmer konzipiert, die mit den sensibelsten CUI in Hochrisikoumgebungen umgehen.

Sicherheitsanforderungen

CMMC Level 3 baut auf Level 2 (NIST SP 800-171) auf, indem zusätzliche Sicherheitskontrollen aus NIST SP 800-172 eingeführt werden. Diese Kontrollen stärken die Fähigkeit einer Organisation, ausgeklügelte Cyberbedrohungen zu erkennen, darauf zu reagieren und sich von ihnen zu erholen, einschließlich fortgeschrittener persistenter Bedrohungen (APTs).

Die verbesserten Sicherheitsdomänen in CMMC Level 3 sind unten aufgeführt:

Domain

Sub-Domain

1. Fortgeschrittene Zugriffskontrolle (AC)

Implementieren Sie Netzwerksegmentierung, um sensible Daten zu isolieren. Durchsetzen von least privilege access mit dynamischer Überwachung. Nutzen Sie verhaltensbasierte Authentifizierung und Zugriffsanalysen.

2. Threat Hunting und Incident Response (IR)

Etablieren Sie proaktive Prozesse zur Bedrohungsjagd. Implementieren Sie automatisierte Systeme zur Angriffserkennung und Reaktion. Entwickeln Sie ein dediziertes Incident-Response-Team (CSIRT) für Cyber-Bedrohungen.

3. Verbesserter Schutz von Systemen und Kommunikation (SC)

Nutzen Sie eine Zero Trust Architektur (ZTA) für kontinuierliche Verifizierung. Implementieren Sie mehrschichtige Verschlüsselung für CUI im Ruhezustand und während der Übertragung. Verwenden Sie Anomalie-Erkennungssysteme, um potenzielle Cyber-Eindringlinge zu identifizieren.

4. Fortgeschrittene Sicherheitsoperationen (SI)

Implementieren Sie eine rund um die Uhr (24/7) Sicherheitsüberwachung und Protokollierung mit security information and event management (SIEM)-Tools. Führen Sie Echtzeitanalysen des Netzwerkverkehrs zur Erkennung von Eindringversuchen durch. Implementieren Sie automatisierte Reaktionsmechanismen, um Bedrohungen in Echtzeit zu neutralisieren.

5. Cyber Threat Intelligence und Risikomanagement (RA)

Verwenden Sie Cyber Threat Intelligence (CTI)-Feeds, um Cyberangriffe vorherzusehen und zu verhindern. Führen Sie kontinuierliche Sicherheitsrisikobewertungen und Penetrationstests durch. Integrieren Sie KI-gestützte Sicherheitsanalysen, um Bedrohungen vorherzusagen.

6. Lieferketten-Risikomanagement (SCRM)

Richten Sie sichere Protokolle für die Lieferkette ein, um Angriffe auf die Lieferkette zu verhindern. Implementieren Sie Programme zur Bewertung von Lieferantenrisiken. Verlangen Sie, dass Unterauftragnehmer die CMMC-Stufe 2 oder höher erfüllen.

Wer muss die Anforderungen von CMMC Level 3 erfüllen?

  • Organisationen, die mit CUI umgehen, die für die nationale Sicherheit entscheidend sind
  • Organisationen, die an hochwertigen DoD-Verträgen arbeiten, die maximalen Schutz gegen Bedrohungen durch Nationalstaaten erfordern
  • Organisationen, die missionskritische Verteidigungsprogramme unterstützen
Bewertungsanforderungen

Im Gegensatz zu den Stufen 1 und 2, die Selbstbewertungen oder Bewertungen durch Dritte beinhalten, erfordert CMMC Level 3 alle drei Jahre eine von der Regierung durchgeführte Bewertung. Durchgeführt vom Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) des DoD, erfordert es umfangreiche Dokumentationen der Sicherheitskontrollen und beinhaltet Penetrationstests und simulierte Cyber-Bedrohungsszenarien.

CMMC-Compliance: Was es für Auftragnehmer bedeutet

Für Auftragnehmer ist die CMMC-Konformität eine Voraussetzung für Geschäfte mit dem DoD. Mit anderen Worten, das Nichterreichen des erforderlichen Reifegrads für Cybersicherheit kann zu einer Ineligibilität für Regierungsaufträge führen.

Bundesvertragsinformationen vs. Kontrollierte nicht klassifizierte Informationen

Das Verständnis des Unterschieds zwischen FCI und CUI ist entscheidend, um den erforderlichen CMMC-Compliance-Level zu bestimmen.

Typ

Definition

Wer kümmert sich darum?

CMMC-Stufe erforderlich

FCI

Nicht öffentliche Informationen, die von der US-Regierung im Rahmen eines Vertrags bereitgestellt werden, jedoch keine klassifizierten Daten. Beispiele: Berichte über die VertragserfüllungProjektlieferungenBeschaffungs- und Zahlungsunterlagen

Alle DoD-Vertragspartner, die grundlegende Vertragsinformationen bearbeiten

CMMC Level 1 (Grundlegend)

CUI

Sensible, aber nicht klassifizierte Informationen, die gemäß NIST SP 800-171 Schutzmaßnahmen erfordern. Beispiele: Technische Daten zu Militärausrüstung, Ingenieurpläne und -schemata, exportkontrollierte Informationen, persönlich identifizierbare Informationen (PII) des DoD-Personals

Auftragnehmer, die an Verteidigungsprojekten mit sensiblen Daten des Verteidigungsministeriums arbeiten

CMMC Level 2 (Fortgeschritten) oder Level 3 (Experte)

CMMC-Bewertungsprozess und Zertifizierungsanforderungen

Der CMMC-Zertifizierungsprozess überprüft, ob Organisationen den Cybersicherheitsstandards entsprechen, bevor sie mit dem DoD zusammenarbeiten. Die Zertifizierung ist erforderlich, um sich auf DoD-Verträge zu bewerben.

Der Bewertungstyp hängt vom erforderlichen CMMC-Reifegrad für den Vertrag ab:

CMMC Level

Bewertungstyp

Stufe 1 (Grundlegend)

Selbstbewertung (jährlich)

Stufe 2 (Fortgeschritten)

Drittprüfung (C3PAO) alle 3 Jahre für kritische Auftragnehmer; Selbstbewertung für andere

Stufe 3 (Experte)

Vom Staat geleitete Bewertung (DIBCAC) alle 3 Jahre

Zertifizierte Drittorganisationen für Bewertungen

Rolle der C3PAOs

C3PAOs werden vom Cybersecurity Maturity Model Certification Accreditation Body (CMMC-AB) akkreditiert, um formelle Cybersicherheitsbewertungen für Unternehmen durchzuführen, die eine CMMC Level 2-Zertifizierung anstreben. Sie bewerten die Einhaltung der CMMC-Sicherheitsanforderungen, einschließlich technischer Kontrollen, Richtlinien und Dokumentation. Nach Abschluss einer Bewertung reichen C3PAOs ihre Ergebnisse und Empfehlungen beim CMMC-AB zur endgültigen Überprüfung ein. Erfüllt ein Unternehmen die Anforderungen, erteilt das CMMC-AB die Zertifizierung, die drei Jahre gültig ist.

Anforderungen für C3PAOs

Um Interessenkonflikte zu vermeiden, dürfen C3PAOs nicht gleichzeitig als Berater und Prüfer für dasselbe Unternehmen tätig sein. C3PAOs unterliegen regelmäßigen Überprüfungen und Audits, um ihre Akkreditierung von der CMMC-AB zu behalten. Sie müssen strenge Cybersicherheitsstandards einhalten, einschließlich der Anforderungen des Federal Risk and Authorization Management Program (FedRAMP), wenn sie mit CUI umgehen.

Auswahl eines C3PAO

Unternehmen, die eine CMMC Level 2-Zertifizierung anstreben, müssen einen zugelassenen C3PAO aus dem CMMC Marketplace, einem Verzeichnis akkreditierter Bewertungsorganisationen, beauftragen.

Zeitplan für die CMMC-Implementierung und Einhaltung von Fristen

Das US-Verteidigungsministerium (DoD) veröffentlichte die endgültige Regelung für CMMC im Oktober 2024, die den Grundstein für die Umsetzung und Einhaltung in Bundesverträgen legte. Die endgültige CMMC Programmregel wurde am 16. Dezember 2024 offiziell Gesetz.

Um den Auftragnehmern Zeit zur Anpassung zu geben und die erforderlichen Zertifizierungen vor der vollständigen Durchsetzung des CMMC zu erhalten, erfolgt die Einführung in 4 Phasen über 3 Jahre:

CMMC-Zertifizierung erreichen

Was ist eine CMMC-Zertifizierung?

Schritte zur Erlangung der CMMC-Zertifizierung

Rolle der zertifizierten Drittorganisationen für Bewertungen (C3PAOs)

Zeitplan für die CMMC-Implementierung und Einhaltung der Fristen

Vorbereitung auf eine CMMC-Bewertung

Die Vorbereitung auf eine CMMC-Bewertung ist entscheidend für Organisationen, die Angebote für das DoD abgeben oder mit ihm zusammenarbeiten möchten. Hier finden Sie eine Übersicht über die wichtigsten Anforderungen, häufige Herausforderungen und Werkzeuge/Ressourcen, die Ihnen bei der Vorbereitung helfen können.

Wesentliche Anforderungen, die vor einer Prüfung erfüllt sein müssen

Bevor sie eine CMMC-Bewertung durchführen, sollten Organisationen die folgenden Schritte unternehmen:

CMMC-Zertifizierungsprozess
  1. Bestimmen Sie die erforderliche CMMC-Stufe.Wenn Sie FCI (aber kein CUI) verarbeiten, ist es Stufe 1; wenn Sie CUI verarbeiten, ist es Stufe 2 oder 3.
  2. Führen Sie eine Lückenanalyse durch. Vergleichen Sie Ihre aktuellen Cybersicherheitsrichtlinien mit den CMMC-Anforderungen für Ihr erforderliches Niveau. Identifizieren Sie fehlende Kontrollen und erstellen Sie einen Sanierungsplan. Entwickeln Sie Dokumentationen für Sicherheitsrichtlinien, Vorfallreaktion und Risikomanagement.
  3. Entwickeln Sie einen System-Sicherheitsplan (SSP). Dokumentieren Sie, wie Ihre Cybersicherheitsrichtlinien, -verfahren und -kontrollen die erforderlichen Kontrollen erfüllen.
  4. Erstellen Sie einen Aktionsplan und Meilensteine (POA&M). Wenn Lücken festgestellt werden, skizzieren Sie einen strukturierten Sanierungsplan mit Zeitvorgaben, um die vollständige Konformität zu erreichen.
  5. Implementieren Sie die erforderlichen Sicherheitskontrollen. Wenden Sie Zugriffskontrollen, Verschlüsselung, MFA, kontinuierliches Monitoring und andere Sicherheitsmaßnahmen basierend auf Ihren CMMC-Level-Anforderungen an.
  6. Führen Sie eine Selbstbewertung durch. Nutzen Sie den CMMC Assessment Guide des DoD, um zu überprüfen, ob alle erforderlichen Kontrollen korrekt implementiert sind.
  7. Stellen Sie sicher, dass die Compliance-Dokumentation vollständig ist. Führen Sie detaillierte Aufzeichnungen aller Cybersicherheitsrichtlinien, Verfahren und Systemkonfigurationen, um während der Prüfung Nachweise für die Compliance zu liefern.
  8. Schulen Sie Mitarbeiter in den besten Praktiken für Cybersicherheit. Stellen Sie sicher, dass alle Mitarbeiter Ihre Sicherheitsrichtlinien und Compliance-Verpflichtungen unter CMMC verstehen.

Häufige Compliance-Herausforderungen und wie man sie bewältigt

Die Einhaltung der CMMC-Vorschriften kann besonders für kleine und mittelständische Auftragnehmer eine Herausforderung darstellen. Nachfolgend finden Sie häufige Hindernisse und Lösungen.

  • Unvollständige Dokumentation — Stellen Sie sicher, dass Sie ein umfassendes SSP erstellen, das die implementierten Sicherheitskontrollen detailliert beschreibt, und einen Vorfallreaktionsplan, der darlegt, wie Ihre Organisation Cyber-Vorfälle identifizieren, darauf reagieren und sich davon erholen wird.
  • Unzureichende Zugriffskontrollen — Durchsetzen des Prinzips der minimalen Rechtevergabe mittels RBAC und Implementierung von MFA als Teil eines Zero Trust-Frameworks. Stellen Sie sicher, dass geeignete Verschlüsselungsprotokolle implementiert werden.
  • Fehlen einer kontinuierlichen Überwachung — Beobachten Sie Bedrohungen in Echtzeit mit automatisierten Überwachungstools und SIEM-Systemen.
  • Sicherheitsanfälligkeiten in der Lieferkette — Stellen Sie sicher, dass alle Ihre Lieferanten und Subunternehmer die CMMC-Anforderungen erfüllen. Schließen Sie Cybersicherheitsklauseln in ihre Verträge ein.
  • Budgetbeschränkungen — Um die erforderlichen Sicherheitskontrollen mit einem knappen Budget umzusetzen, nutzen Sie erschwingliche Compliance-Tools, beantragen Sie DoD-Zuschüsse oder finanzielle Unterstützung und priorisieren Sie Sicherheitslücken mit hohem Risiko.

Tools und Ressourcen für die CMMC-Bereitschaft

Die folgenden Ressourcen können Ihnen bei wichtigen Aufgaben helfen, während Sie sich auf die CMMC-Bewertung vorbereiten:

  • Erhalten Sie ein tieferes Verständnis von CMMC — CMMC-Workshops und Schulungsprogramme
  • Bewerten Sie die Bereitschaft Ihrer Organisation — Selbstbewertungstools vom CMMC Accreditation Body
  • Implementieren Sie die erforderlichen Kontrollen für den Umgang mit CUI — NIST SP 800-171 Toolkit
  • Erhalten Sie umfassende Unterstützung — CMMC-akkreditierte Berater können Ihnen dabei helfen, den Compliance-Prozess zu navigieren, eine Lückenanalyse durchzuführen und sich auf das Audit vorzubereiten.

Wenn Sie bereit sind, spezifische Sicherheitskontrollen zu implementieren, ziehen Sie Tools wie die folgenden in Betracht:

  • Compliance-Management (Fortschritt verfolgen, Sicherheitsmaßnahmen implementieren und notwendige Dokumentation erstellen) — Vanta, Drata, CyberStrong
  • Echtzeitüberwachung, Alarmierung und Berichterstattung — Sumo Logic, Splunk
  • Risikobewertung und -minderung— RiskWatch
  • Erkennung von Sicherheitsschwächen — Tenable, Qualys, Nessus
  • Starke Authentifizierung — Okta, Microsoft Entra ID

Auswirkungen von CMMC auf die Verteidigungsindustriebasis

Stärkung der Cybersicherheit in der gesamten Verteidigungslieferkette

Die DIB besteht aus Tausenden von Auftragnehmern, die sensible Informationen des DoD verarbeiten. Schwache Cybersicherheit in nur einem einzigen Unternehmen kann Schwachstellen für die gesamte Lieferkette schaffen.

CMMC erfordert starke, konsistente Cybersicherheitspraktiken bei allen DoD-Lieferanten, was dazu beiträgt, das Risiko von data breaches, Spionage und Diebstahl geistigen Eigentums zu verringern. Organisationen mit schwächeren Cybersicherheitsprofilen, wie kleinere Unternehmen, müssen möglicherweise ihre Sicherheitsmaßnahmen verbessern, um die CMMC-Anforderungen zu erfüllen.

Compliance wird zur Voraussetzung für DoD-Verträge

Die CMMC-Zertifizierung wird bis 2026 in DoD-Verträge integriert und wird letztendlich für jedes Unternehmen, das Geschäfte mit dem DoD macht, verpflichtend. Dies wird mehrere Auswirkungen auf die DIB haben:

  • Auftragnehmer müssen in Compliance investieren oder riskieren, DoD-Verträge zu verlieren.
  • Unternehmen mit CMMC-Zertifizierung erlangen einen Wettbewerbsvorteil bei der Sicherung von Verträgen.

Finanzielle und operative Auswirkungen auf Verteidigungsunternehmer

Das Erreichen der CMMC-Zertifizierung umfasst häufig eine Vielzahl von Ausgaben, einschließlich der folgenden:

  • Cybersicherheitsberater zur Unterstützung bei der Gestaltung und Implementierung von Sicherheitskontrollen
  • Investitionen in Technologie, wie Verschlüsselung, MFA und Überwachungswerkzeuge
  • Erhöhter IT-Aufwand für die Entwicklung, Dokumentation und Verwaltung von Sicherheitsrichtlinien und -kontrollen
  • Schulung für das gesamte Personal
  • Bewertungen: Level 2- und Level 3-Bewertungen durch C3PAOs können je nach Unternehmensgröße und Komplexität von 10.000 $ bis über 100.000 $ kosten und sind alle drei Jahre erforderlich; eine Level 1-Selbstbewertung (jährlich) kann zu geringeren Kosten erreicht werden, erfordert jedoch immer noch Dokumentation.
  • Bußgelder für Nichteinhaltung
  • Entgangene Einnahmen durch verlorene Verträge

Wahrscheinliche Schlüsselauswirkungen auf das DIB werden voraussichtlich Folgendes umfassen:

  • Große Auftragnehmer werden sich schnell anpassen, während kleine Unternehmen möglicherweise Schwierigkeiten haben, eine Zertifizierung zu erreichen.
  • Die Nachfrage nach Cybersicherheitsexperten und CMMC-Beratern wird steigen.
  • Die Kosten für die Einhaltung von Vorschriften können zu einer verstärkten Konsolidierung führen.

Strengere Supply Chain Security & Vendor Management

Unter CMMC müssen Hauptauftragnehmer sicherstellen, dass alle Subunternehmer die notwendigen CMMC-Stufenanforderungen erfüllen – Unternehmen müssen die Sicherheit von Anbietern bewerten, bevor sie Partnerschaften eingehen.

Die gestiegene Nachfrage nach CMMC-konformen Anbietern wird konformen Unternehmen einen Wettbewerbsvorteil verschaffen. Allerdings könnte die mögliche Verringerung der Anzahl geeigneter Subunternehmer die Flexibilität der Lieferkette beeinträchtigen.

Wettbewerbsvorteil für Frühanwender

Unternehmen, die frühzeitig eine CMMC-Zertifizierung erreichen, werden gegenüber Wettbewerbern einen strategischen Vorteil bei der Sicherung von DoD-Verträgen und Partnerschaften erlangen. Tatsächlich werden Frühadoptierer wahrscheinlich die DoD-Vertragsmöglichkeiten dominieren.

Zukunft von CMMC und Cybersecurity Compliance

CMMC wird sich weiterentwickeln. Zukünftige Versionen von CMMC könnten einführen:

  • Mehr Anforderungen an Automatisierung und kontinuierliche Überwachung
  • Vorgaben zur Übernahme von Zero Trust-Sicherheitsprinzipien
  • Anforderungen an die Nutzung sicherer Cloud-Dienstanbieter (z. B. FedRAMP High)
  • Anwendbarkeit auf Regierungssektoren über das Verteidigungsministerium hinaus

Um voraus zu bleiben, sollten Organisationen:

  • Überwachen Sie Updates vom Büro des CIO des DoD und Cyber AB.
  • Nehmen Sie an Arbeitsgruppen teil, besuchen Sie Branchentage und nehmen Sie an Webinaren teil.
  • Halten Sie flexible Cybersicherheitsprogramme aufrecht, die sich an neue Anforderungen anpassen können.

Denken Sie über das DoD hinaus: Positionieren Sie sich für zukünftige Vorschriften

Cybersecurity-Reifemodelle wie CMMC gewinnen schnell an Bedeutung, weit über das DoD hinaus. Hier sind einige Informationen darüber, warum und wo diese Modelle sich ausweiten und was das für Unternehmen bedeutet.

Wachsende regulatorische Landschaft

Obwohl CMMC als eine Initiative des DoD begann, fangen andere Bundesbehörden und Sektoren an, ähnliche Modelle zur Verwaltung von Cyber-Risiken in ihren Lieferketten zu übernehmen. Behörden, die jetzt NIST SP 800-171 zitieren oder in ihren eigenen Verträgen CMMC-konforme Rahmenwerke in Betracht ziehen, umfassen:

  • GSA (General Services Administration)
  • DHS (Department of Homeland Security)
  • DOE (Department of Energy)
  • NASA (National Aeronautics and Space Administration)
Der kommerzielle Sektor nimmt Notiz

Branchen wie Finanzen, Gesundheitswesen, Energie und Fertigung stehen unter zunehmendem Druck, ihre digitalen Ökosysteme zu sichern. Faktoren, die diesen Wandel antreiben, umfassen Folgendes:

  • Ransomware- und Lieferkettenangriffe nehmen zu.
  • Kunden, Investoren und Versicherer fordern Nachweise über die Cyber-Reife.
  • Regulierungsbehörden wie SEC, HIPAA und NERC verschärfen Sicherheits- und Berichtsvorschriften.
Cyber-Reife als Wettbewerbsvorteil

Organisationen, die strukturierte Reifegradmodelle übernehmen, können:

  • Gewinnen Sie mehr Aufträge, indem Sie nachweisen, dass sie sicher und konform sind
  • Verhandeln Sie bessere Cyber-Versicherungsprämien
  • Vertrauen bei Partnern und Kunden aufbauen
  • Reagieren Sie schneller auf Audits, Vorfälle und regulatorische Änderungen
Versicherungs- und Rechtsfolgen

Cyber-Versicherungsanbieter und juristische Teams verwenden zunehmend Cyber-Reifegrade, um:

  • Richtlinienraten festlegen
  • Bewerten Sie Haftung und Risikoexposition
  • Bewältigen Sie die Reaktion auf Datenschutzverletzungen und Rechtsstreitigkeiten

Unternehmen mit klarer Dokumentation, getesteten Kontrollen und einem etablierten Reifegradmodell sind im Falle eines Cyber-Vorfalls wesentlich besser verteidigbar.

Hin zu globalen Standards

Die internationale Ausrichtung wächst ebenfalls. Länder und Allianzen wie die NATO erforschen oder übernehmen CMMC-ähnliche Modelle, um ihre eigenen Verteidigungs- und kritischen Infrastruktur-Lieferketten zu sichern.

Bemerkenswerte Entwicklungen umfassen:

  • UKs Cyber Essentials Plus
  • EU-Richtlinie NIS2
  • Integrationen für ISO/IEC 27001-Reifegrad
  • Multinationale Unternehmen übernehmen NIST-Frameworks weltweit

Fazit

CMMC ist ein entscheidender Rahmen, da er einen standardisierten, durchsetzbaren Ansatz zur Sicherung sensibler Regierungsdaten entlang der Verteidigungslieferkette etabliert. Es verlagert die Cybersicherheit von einer reaktiven IT-Funktion zu einer proaktiven, unternehmensweiten Verantwortung.

Die Einhaltung von CMMC ist keine Option mehr – sie ist eine Wettbewerbsnotwendigkeit. Organisationen aus dem öffentlichen und privaten Sektor, die jetzt eine proaktive Haltung einnehmen, werden nicht nur die Anforderungen des DoD erfüllen, sondern sich auch als vertrauenswürdige, widerstandsfähige Partner positionieren.

FAQ

Was macht CMMC?

CMMC steht für Cybersecurity Maturity Model Certification. Es definiert spezifische Cybersicherheitspraktiken und Reifegrade, die DoD-Vertragspartner erfüllen müssen, basierend auf der Sensibilität der Daten, die sie verarbeiten. Das ordnungsgemäße Sichern von Controlled Unclassified Information (CUI) und Federal Contract Information (FCI) verbessert die Sicherheit der Defense Industrial Base (DIB).

Was ist der Unterschied zwischen CMMC und NIST?

Während CMMC und das National Institute of Standards and Technology (NIST) in der Welt der Cybersicherheit eng miteinander verbunden sind — insbesondere für Verteidigungsunternehmer — erfüllen sie unterschiedliche Zwecke. Hier sind die wesentlichen Unterschiede.

Funktion

CMMC

NIST

Zweck

Ein Zertifizierungsrahmen zur Überprüfung von Cybersicherheitspraktiken für DoD-Vertragspartner

Eine Regierungsbehörde, die Standards und Richtlinien entwickelt, einschließlich Kontrollen für Cybersicherheit

Fokus

Stellt die Einhaltung und Zertifizierung zum Schutz von CUI und FCI in der Verteidigungsindustrie sicher

Stellt technische Standards wie NIST SP 800-171 für das Management von Cybersicherheitsrisiken bereit

Verpflichtend?

Ja, für DoD-Verträge, die den Umgang mit sensiblen Daten erfordern (einmal vollständig implementiert)

Indirekt — NIST SP 800-171 wird durch DFARS 7012 gefordert, ist aber keine Zertifizierung

Bewertungstyp

Erfordert Selbstbewertungen oder Zertifizierungen durch Dritte basierend auf dem jeweiligen Reifegrad

Keine formelle Zertifizierung; Organisationen setzen die Anforderungen des NIST um und bescheinigen diese selbst

Struktur

Definiert 3 Reifegrade mit zunehmender Cybersicherheitsstrenge

Verwendet Kontrollfamilien (wie die 110 Kontrollen in NIST SP 800-171)
Was sind die 3 CMMC-Stufen?

Die drei Reifestufen, die in CMMC 2.0 definiert sind, lauten:

Stufe 1: Grundlegend

Konzentriert sich auf grundlegende Sicherungsmaßnahmen von FCI Basierend auf 17 Praktiken aus FAR 52.204-21 Jährliche Selbstbewertung Erforderlich für Auftragnehmer, die mit der Bundesregierung arbeiten, aber keine CUI verarbeiten

Stufe 2: Fortgeschritten

Konzentriert sich auf den Schutz von CUIBasierend auf 110 Kontrollen aus NIST SP 800-171Drittprüfung (alle 3 Jahre) für kritische nationale Sicherheitsarbeit; jährliche Selbstbewertung für Programme mit geringerem RisikoErforderlich für die meisten Verteidigungsunternehmer, die CUI verarbeiten

Stufe 3: Experte

Konzentriert sich auf den Schutz von CUI in hochprioritären, kritischen VerteidigungsprogrammenBasierend auf NIST SP 800-171 sowie einer Auswahl von NIST SP 800-172Von der Regierung geleitete BewertungErforderlich für große oder kritische Auftragnehmer, die in hochsensiblen Bereichen tätig sind

Sehen Sie sich den Abschnitt zum Aufschlüsselung der CMMC-Stufen und Anforderungen für eine detaillierte Diskussion der drei Stufen an.

Wie kann sich eine Organisation CMMC-zertifizieren lassen?

Die Erlangung der CMMC-Zertifizierung beinhaltet einen strukturierten Prozess zur Bewertung und Validierung der Cybersicherheitspraktiken Ihrer Organisation:

  1. Bestimmen Sie, welche Stufe (1, 2 oder 3) Ihre Verträge oder erwartete Arbeiten erfordern.
  2. Vergleichen Sie Ihre aktuelle Cybersicherheitslage mit den Anforderungen für Ihr Zielniveau, um fehlende Kontrollen, Dokumentationslücken und Prozessprobleme zu identifizieren.
  3. Entwickeln Sie einen System-Sicherheitsplan (SSP) und einen Plan für Maßnahmen und Meilensteine (POA&M).
  4. Implementieren Sie die erforderlichen Sicherheitskontrollen.
  5. Beauftragen Sie eine C3PAO (für Level-2-Bewertungen).
  6. Unterziehen Sie sich der Bewertung.

Sehen Sie sich die Abschnitte zum CMMC-Bewertungsprozess und den Zertifizierungsanforderungen sowie zur Vorbereitung auf eine CMMC-Bewertung für Details an.

Lohnt sich die CMMC-Zertifizierung?

Ja, die CMMC-Zertifizierung ist für viele Organisationen absolut lohnenswert, insbesondere für diejenigen, die mit dem US-Verteidigungsministerium (DoD) und anderen Bundesbehörden zusammenarbeiten oder eine Zusammenarbeit anstreben. Zu den Hauptgründen gehören die folgenden:

  • CMMC ist erforderlich, um viele DoD-Aufträge zu bieten und zu gewinnen.
  • CMMC hilft Ihnen dabei, Lücken in Ihrer Sicherheit zu identifizieren und zu schließen. Dadurch können Sie das Risiko von Datenverletzungen und Ausfallzeiten durch Ursachen wie Ransomware, Phishing und Angriffe auf die Lieferkette verringern.
  • Eine Zertifizierung hebt Sie von Wettbewerbern ab, die nicht konform sind – auch im privaten Sektor.
  • CMMC entspricht den NIST-Standards, die über das DoD hinaus angenommen werden. Daher werden Sie durch die Einhaltung von CMMC besser für zukünftige Bundes-, Landes- und Branchenvorschriften aufgestellt sein.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Neueste blogbeiträge

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Verständnis des Golden Ticket-Angriffs mit Mimikatz

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen