Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumCheckliste
CMMC-Compliance-Checkliste: Ihr wesentlicher Leitfaden zur CMMC 2.0-Compliance

CMMC-Compliance-Checkliste: Ihr wesentlicher Leitfaden zur CMMC 2.0-Compliance

Wenn Organisationen Geschäfte mit der Bundesregierung machen, erstellen oder verarbeiten sie oft sensible Daten. Um diese Daten zu schützen, hat das Verteidigungsministerium (DoD) die Cybersecurity Maturity Model Certification (CMMC) ins Leben gerufen. Das CMMC-Framework ist verpflichtend für Unternehmen in der Defense Industrial Base (DIB) und für solche, die einen Vertrag mit dem DoD anstreben.

CMMC wurde 2021 auf v2.0 aktualisiert. Organisationen, die nicht mit CMMC 2.0 konform gehen, riskieren ihre Verträge mit dem DoD zu gefährden, was das Verständnis der Änderungen am Rahmenwerk unerlässlich macht. Eine CMMC-Compliance-Checkliste kann für Organisationen ein nützliches Werkzeug sein, um diese Aktualisierungen effektiv zu navigieren.

Diese CMMC-Compliance-Checkliste für v2.0 kann Ihnen helfen, den Weg zur Compliance zu beginnen. Beachten Sie, dass es sich nicht um eine umfassende Quelle für alle erforderlichen Schritte handelt und dass Sie eine CMMC Registered Provider Organization (RPO) konsultieren müssen, um Ihre CMMC-Zertifizierung zu erhalten.

Verständnis von CUI und FCI

Ein Glossar der Schlüsselbegriffe finden Sie am Ende dieser CMMC-Audit-Checkliste, aber zwei Begriffe, die Organisationen verstehen müssen, um dieser Checkliste zu folgen, sind CUI und FCI:

  • CUI (kontrollierte nicht klassifizierte Informationen) — „Informationen, die die Regierung erstellt oder besitzt, oder die eine Entität im Auftrag der Regierung erstellt oder besitzt, und die ein Gesetz, eine Vorschrift oder eine behördenübergreifende Richtlinie verlangt oder erlaubt, unter Verwendung von Schutz- oder Verbreitungskontrollen zu behandeln.“
  • FCI (Bundesvertragsinformationen) — "Informationen, die nicht für die öffentliche Veröffentlichung bestimmt sind, die von oder für die Regierung im Rahmen eines Vertrags zur Entwicklung oder Lieferung eines Produkts oder einer Dienstleistung für die Regierung bereitgestellt oder erzeugt werden, jedoch keine Informationen, die von der Regierung an die Öffentlichkeit weitergegeben werden."

Um die CMMC-Konformität zu erreichen, müssen Organisationen CUI und FCI angemessen speichern, übertragen und verarbeiten, unter Beachtung der erforderlichen CMMC-Kontrollen.

CMMC-Ziele

Das CMMC ist ein Programm für Cybersicherheitsschulungen, Zertifizierungen und Bewertungen, das sicherstellen soll, dass DIB-Vertragspartner CUI sicher handhaben. Dies umfasst den Datenfluss zu Subunternehmern in der Lieferkette.

Zu den wesentlichen Anforderungen gehören die Folgenden:

  • Schützen Sie sensible Informationen durch angemessene Cybersicherheitspraktiken, oft durch die Anwendung eines „Vertrauen, aber prüfen“-Modells, das mit der CMMC controls list übereinstimmt.
  • Stärken Sie kontinuierlich bestehende Cybersicherheitspraktiken, um mit der sich wandelnden Bedrohungslandschaft Schritt zu halten.
  • Stellen Sie Verantwortlichkeit im gesamten Unternehmen sicher, damit Fehltritte identifiziert und gelöst werden können.
  • Ermöglichen Sie die Einhaltung der DoD-Anforderungen.
  • Fördern Sie eine Kollaborationskultur, die Cybersicherheit und Cyber-Resilienz priorisiert.
  • Pflegen Sie das öffentliche Vertrauen durch höchste professionelle, ethische und Transparenzstandards.

Das CMMC stimmt mit NIST SP 800-171 und NIST SP 800-172 überein, daher sollten Unternehmen, die eine CMMC-Zertifizierung anstreben, sich mit diesen Standards vertraut machen und die Kontrollliste des CMMC 2.0 sorgfältig überprüfen.

CMMC 1.0 vs CMMC 2.0: Wesentliche Unterschiede

Die Hauptunterschiede zwischen CMMC 1.0 und CMMC 2.0 sind:

  • Weniger Stufen — Das Modellzertifizierung CMMC-Niveau, das eine Organisation erhält, kann bestimmen, für welche Art von Vertrag sie berechtigt ist. CMMC 1.0 definierte fünf Stufen; CMMC 2.0 hat nur drei: Level 1 Grundlegend, Level 2 Fortgeschritten und Level 3 Experte.
  • Reduzierte Bewertungskosten — CMMC 2.0 ermöglicht es allen Organisationen der Stufe 1 und einigen der Stufe 2, die Konformität durch Selbstbewertung nachzuweisen, was die Kosten für Bewertungen durch eine zertifizierte Drittanbieter-Bewertungsorganisation (C3PAO) entfallen lässt.
  • Höhere Rechenschaftspflicht — Bewertungen durch Dritte müssen nun höheren beruflichen und ethischen Standards entsprechen.
  • Größere Flexibilität — CMMC 2.0 erlaubt es einigen Unternehmen, die Zertifizierung über einen Plan Of Action and Milestones (POA&M) zu erreichen. Es ermöglicht der Regierung auch, in bestimmten Fällen Ausnahmegenehmigungen zu erteilen.
  • Entfernung der Abschnitte "Capabilities" und "Processes" — In CMMC 1.0 deckten die Capabilities Ziele ab, die mit der Cybersecurity-Hygiene zusammenhängen, während der Abschnitt Processes die Arbeitsabläufe, Richtlinien, Sicherheitskontrollen und andere Methoden zur Demonstration von Fortschritten in Richtung eines Cybersecurity-Ziels umfasste.

Wann ist die Einhaltung von CMMC erforderlich?

CMMC 2.0 wurde im November 2021 angekündigt und sollte bis November 2023 umgesetzt werden. Das Datum wurde verschoben, aber CMMC 2.0 kommt möglicherweise schon 2025, daher wird Organisationen geraten, die notwendigen Änderungen für die CMMC 2.0-Zertifizierung und zur Erfüllung der Anforderungen der CMMC Level 2-Checkliste nicht aufzuschieben.

Welchen Organisationen gilt das CMMC?

Das CMMC gilt in erster Linie für Organisationen innerhalb des DIB, zu dem über 300.000 Unternehmen und Universitäten gehören, die an der Herstellung von Ausrüstung für die Streitkräfte der Vereinigten Staaten beteiligt sind. Dies schließt ein, ist aber nicht beschränkt auf:

  • Auftragnehmer
  • Subunternehmer
  • Technikpersonal
  • Ressourcen für die Lieferkette
  • Forschung und Entwicklung (F&E)

DIB-Vertragspartner können eine bestimmte CMMC-Zertifizierungsebene für ihr gesamtes Netzwerk oder nur für Teile davon erreichen, abhängig von ihren CUI- und FCI-Speicherprozessen. Es ist jedoch in der Regel eine bewährte Methode, ein einheitliches Compliance-Niveau aufrechtzuerhalten, damit alle Netzwerksegmente kommunizieren und Daten austauschen können, ohne das Risiko eines Compliance-Verstoßes, wie in einer umfassenden CMMC-Audit-Checkliste dargelegt.

Auftragnehmer und CMMC 2.0

CMMC 2.0 erfordert von Hauptauftragnehmern des DoD, eine Selbstbewertung ihrer Umsetzung der NIST SP 800-171 Praktiken durchzuführen. Sie können dies über die NIST SP 800-171 DoD Assessment Methodology vornehmen.

Um die Kontinuität über die gesamte Lieferkette hinweg aufrechtzuerhalten, können sie verlangen, dass alle Unterauftragnehmer dasselbe tun. Die Bewertung erzeugt eine Punktzahl, die die Auftragnehmer an das Supplier Performance Risk System (SPRS) übermitteln müssen. Damit eine Bewertung als "mittel" oder "hoch" eingestuft wird, muss sie vom DoD durchgeführt werden und nicht über eine Selbstbewertung.

Was sind CMMC-Domänen und -Praktiken?

Die Cybersicherheitsanforderungen von CMMC fallen in die folgenden 17 Bereiche, jeder mit spezifischen CMMC-Kontrollen, die befolgt werden müssen:

  • Zugriffskontrolle (AC)
  • Incident Response (IR)
  • Risikomanagement (RM)
  • Access Management (AM)
  • Wartung (MA)
  • Sicherheitsbewertung (CA)
  • Bewusstsein und Schulung (AT)
  • Medienschutz (MP)
  • Audit und Rechenschaftspflicht (AU)
  • Personalsicherheit (PS)
  • System- und Kommunikationsprotokolle (SC)
  • Konfigurationsmanagement (CM)
  • Physischer Schutz (PE)
  • System- und Informationsintegrität (SI)
  • Identifikation und Authentifizierung (IA)
  • Wiederherstellung (RE)
  • Situationsbewusstsein (SA)

Die NIST SP 800-171 und NIST SP 800-172 Standards listen die Cybersicherheitspraktiken für diese Domänen auf. Diejenigen, die eine spezifische CMMC-Zertifizierungsebene anstreben, müssen die Praktiken befolgen, die im entsprechenden Standard festgelegt sind.

Was sind die CMMC-Compliance-Stufen?

Ihr CMMC-Compliance-Level bestimmt Ihre Berechtigung für bestimmte Regierungsaufträge. CMMC 2.0 definiert drei Stufen:

CMMC Level 1: Grundlegend

Diese Stufe ist in der Regel am besten für Unternehmen geeignet, die FCI oder andere Daten verarbeiten, die Schutz benötigen, aber nicht wesentlich für die nationale Sicherheit sind. Eine CMMC Level 1-Checkliste umfasst die Sicherstellung, dass Ihr Unternehmen die 17 in NIST SP 800-171 definierten Praktiken einhält und durch Selbstbewertungen nachweisen kann, dass es konform ist.

CMMC Level 2: Fortgeschritten

Diese Stufe ist für Organisationen, die CUI zusätzlich zu Vertragsinformationen (FCI) verarbeiten. Eine CMMC Level 2-Checkliste umfasst die Implementierung von 110 (nicht nur 17) NIST SP 800-171 Praktiken und die Durchführung von dreijährlichen Bewertungen durch eine C3PAO.

CMMC Level 3: Experte

Die höchste Zertifizierungsstufe in CMMC 2.0 ist für Unternehmen, die an hochrangigen Regierungsprogrammen beteiligt sind und darauf abzielt, ihre CUI vor fortgeschrittenen, anhaltenden Bedrohungen (APTs) zu schützen. Eine CMMC-Stufe-3-Checkliste beinhaltet das Befolgen der 110+ fortgeschrittenen Praktiken von NIST SP 800-172 und das Bestehen von dreijährlichen Bewertungen durch die Regierung anstelle eines C3PAO.

Zusammenfassung

Die folgende Tabelle fasst die Hauptunterschiede zwischen den drei Stufen in CMMC 2.0 zusammen:

Anforderungen

Für Unternehmen mit

Bewertungen

Stufe 1: Grundlegend

17 Praktiken

FCI (nicht entscheidend für die nationale Sicherheit)

Jährliche Selbstbewertung

Stufe 2: Fortgeschritten

110 Praktiken in Übereinstimmung mit NIST SP 800-171

CUI

Triennial By C3PAO

Stufe 3: Experte

Über 110 Praktiken basierend auf NIST SP 800-172

CUI, empfindlichste Programme

Dreijährlich Von der Regierung

Wie kann meine Organisation mit der CMMC-Konformität beginnen?

Der entscheidende erste Schritt auf dem Weg zur Einhaltung des Cybersecurity Maturity Model ist herauszufinden, wo CUI in Ihrer Umgebung vorhanden ist, wer darauf zugreifen kann und wie Sie es nutzen. Lösungen wie Netwrix Auditor und Netwrix Data Classification können Ihnen helfen, diese wichtigen Aufgaben genau und effizient durchzuführen.

Weitere Informationen finden Sie in den FAQ auf der Secretary of Defense website. Sie können dort auch Fragen stellen, und das zuständige Büro wird per E-Mail antworten.

Glossar

  • AB — Akkreditierungsstelle
  • C3PAO — Zertifizierte Drittprüfungsorganisation
  • CUI — Kontrollierte nicht klassifizierte Informationen
  • DFARS — Verteidigungs-Bundesbeschaffungsvorschriftenzusatz
  • DIB — Verteidigungsindustrielle Basis
  • FCI — Bundesvertragsinformationen
  • OSC — Organisation, die eine Zertifizierung sucht
  • POAM — Plan für Maßnahmen und Meilensteine
  • RPO — Registrierte Anbieterorganisation
  • SSP — System-Sicherheitskonzept

FAQ

Was ist Controlled Unclassified Information (CUI)?

CUI ist Informationen, die die Regierung erstellt oder besitzt, oder die eine Entität im Auftrag der Regierung erstellt oder besitzt, und die ein Gesetz, eine Vorschrift oder eine behördenweite Politik erfordert oder erlaubt, dass eine Behörde sie unter Verwendung von Schutz- oder Verbreitungskontrollen handhabt.

Was ist CMMC?

Die Cybersecurity Maturity Model Certification (CMMC) ist ein Standard für die Implementierung von Cybersicherheit in der Verteidigungsindustrie und zur Quantifizierung des Reifegrads der Cybersicherheit einer Organisation. Das CMMC-Framework bietet dem DoD erhöhte Sicherheit, dass ein DIB-Unternehmen angemessene Cybersicherheitspraktiken zum Schutz von FCI und CUI implementiert hat.

Warum wurde CMMC 2.0 erstellt?

Das US-Verteidigungsministerium migriert zum neuen CMMC-Framework, um die Cybersecurity-Haltung von DIB-Organisationen zu verbessern und besser zu bewerten.

Gibt es eine CMMC 3.0?

Eine dritte Version des CMMC-Frameworks ist in Entwicklung.

Werden Nicht-DoD-Verträge CMMC verwenden?

Die anfängliche Implementierung des CMMC 2.0 wird ausschließlich im DoD stattfinden und der DFARS-Klausel 252.204-7021 folgen.

Was ist die Beziehung zwischen NIST und CMMC?

CMMC 2.0 Level 2 erfordert von Unternehmen, die 110 Sicherheitsanforderungen zu erfüllen, die in NIST SP 800-171 festgelegt sind. Level 3 erfordert eine Teilmenge der NIST SP 800-172 Praktiken.

Was ist eine CMMC Third Party Assessment Organization (C3PAO)?

C3PAOs sind dafür verantwortlich, bestimmte CMMC-Bewertungen durchzuführen und auf Grundlage der Ergebnisse entsprechende CMMC-Zertifikate auszustellen. Autorisierte und akkreditierte C3PAOs sind auf der CMMC-AB Marketplace-Website aufgeführt.

Wie wird eine Organisation durch die Verwendung eines C3PAO zertifiziert?

Das Unternehmen wählt eines der C3PAOs von der CMMC-AB Marketplace Website aus und arbeitet mit diesem zusammen, um die CMMC-Bewertung zu planen. Das C3PAO wird einen Bewertungsbericht bereitstellen; sollten keine Mängel vorliegen, wird es ein CMMC-Zertifikat für die entsprechende Zertifizierungsebene ausstellen. Das C3PAO wird auch eine Kopie des Bewertungsberichts und des CMMC-Zertifikats an das DoD übermitteln.

Wie oft muss eine Organisation neu bewertet werden?

Im Allgemeinen ist ein CMMC-Zertifikat drei Jahre lang gültig.

Wenn meine Organisation eine CMMC-Zertifizierung hat und mein unklassifiziertes Netzwerk kompromittiert wird, verliere ich dann meine Zertifizierung?

Ein Cybersicherheitsvorfall führt nicht automatisch dazu, dass ein DIB-Unternehmen seine CMMC-Zertifizierung verliert. Je nach den Umständen des Vorfalls kann der DoD-Programmmanager eine Neubewertung anordnen.

Muss meine Organisation trotzdem zertifiziert werden, auch wenn wir keine CUI verarbeiten?

Wenn ein DIB-Unternehmen keine CUI besitzt, speichert oder überträgt, aber FCI besitzt, muss es die FAR-Klausel 52.204-21 erfüllen und mindestens eine CMMC Level 1-Zertifizierung erhalten.

Unternehmen, die ausschließlich kommerzielle Standardprodukte (COTS) herstellen, benötigen keine CMMC-Zertifizierung.

Muss meine Organisation zertifiziert sein, wenn sie als Subunternehmer an einem Vertrag des Verteidigungsministeriums beteiligt ist?

Wenn der DoD-Vertrag eine CMMC-Anforderung enthält und Ihr Unternehmen nicht ausschließlich COTS-Produkte herstellt, benötigen Sie ein CMMC-Zertifikat. Das Niveau des CMMC-Zertifikats hängt von der Art und Beschaffenheit der Informationen ab, die von Ihrem Hauptauftragnehmer fließen.

Wie erfahre ich, welches CMMC-Niveau für einen Vertrag erforderlich ist?

Das US-Verteidigungsministerium wird das erforderliche CMMC-Niveau in jeder Informationsanfrage (RFI) und jedem Ausschreibungsantrag (RFP) festlegen.

CMMC-Compliance-Mapping von Netwrix

Identifizieren, priorisieren und mindern Sie Risiken für CUI und FCI, um die Sicherheit von CMMC-regulierten Daten zu stärken

Eine CMMC-Compliance-Mapping erhalten

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management