Cybersecurity Maturity Model Certification (CMMC) Version 2: Überlegungen zum Risikomanagement von Drittanbietern

CMMC v2.0 vereinfacht die Zertifizierungsstufen, beseitigt proprietäre Reifegrade und passt die Verantwortlichkeiten für die Risikobewertung durch Dritte an. Erfahren Sie, wie dies auf Ihr Unternehmen zutreffen könnte.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Dezember 8, 2021 6 min gelesen
 

Im November 2021 veröffentlichte das Büro des Unterstaatssekretärs für Beschaffung und Nachhaltigkeit im US-Verteidigungsministerium (DoD) die Version 2.0 der Cybersecurity Maturity Model Certification (CMMC), ein umfassendes Rahmenwerk zum Schutz der industriellen Basis des Verteidigungssektors vor immer häufiger auftretenden und komplexeren Cyberangriffen. Version 2.0 vereinfacht das Modell, indem es die Zertifizierungsstufen von fünf (5) auf drei (3) strafft, proprietäre Reifegrade eliminiert und die Bewertungszuständigkeiten anpasst. Dieser Beitrag fasst die Neuerungen in Version 2.0 zusammen, darunter auch, wie Prevalent zur Vereinfachung des CMMC-Bewertungsprozesses beitragen kann.

Was ist CMMC?

CMMC ist eine Zertifizierung der US-Bundesregierung für Cybersicherheit und den Umgang mit kontrollierten, nicht klassifizierten Informationen (CUI) nach bewährten Verfahren. Diese Zertifizierung entscheidet letztendlich darüber, ob ein Unternehmen einen Auftrag vom Verteidigungsministerium erhalten kann. CMMC soll sicherstellen, dass unsere gesamte nationale Verteidigungslieferkette (DIBS – Defense Industrial Base Suppliers) sicher und widerstandsfähig ist.

Was sind die CMMC-Zertifizierungsstufen?

Alle Lieferanten des US-Verteidigungsministeriums müssen künftig eine Zertifizierung auf einer von drei Stufen absolvieren, von Stufe 1 (Grundlagen) bis Stufe 3 (Experte). Dies stellt eine Änderung gegenüber Version 1.0 dar, die fünf Zertifizierungsstufen vorsah. Die Zertifizierungsstufen der Version 2.0 leiten sich aus den grundlegenden Sicherheitsanforderungen für Federal Contract Information (FCI) ab, die in der Federal Acquisition Regulation (FAR) Klausel 52.204-21 festgelegt sind, sowie aus den Sicherheitsanforderungen für kontrollierte, nicht klassifizierte Informationen (CUI), die in der Sonderveröffentlichung ( SP ) 800-171 Rev 2 des National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171 Rev 2 gemäß Defense Federal Acquisition Regulation Supplement (DFARS) Clause 252.204-7012 und zusätzlichen Kontrollen aus NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 abgeleitet.

  • Stufe 1 – Selbstbewertung durch den Lieferanten anhand von 17 Kontrollen. Diese Zertifizierungsstufe gilt als grundlegend und ist für Lieferanten gedacht, die FCI verwalten, die für die nationale Sicherheit nicht kritisch sind. Diese Zertifizierungsstufe ist gegenüber der ursprünglich im Januar 2020 angekündigten Version 1.0 unverändert.
  • Stufe 2 – Eine fortgeschrittenere Zertifizierungsstufe, die von externen Prüfern (bekannt als C3PAOs oder zertifizierte externe Prüfungsorganisationen) anhand von zusätzlichen 110 Kontrollen gemäß dem Standard NIST SP 800-171 durchgeführt wird. Diese Stufe kommt für Unternehmen in Betracht, die über kontrollierte, nicht klassifizierte Informationen (CUI) verfügen. In einigen Fällen können Organisationen auf dieser Stufe eine Selbstbewertung durchführen.
  • Stufe 3 - Diese Stufe, die als Expertenstufe für die DoD-Lieferanten mit der höchsten Priorität gilt, baut auf Stufe 2 auf und fügt eine Untergruppe der NIST SP 800-172-Kontrollen hinzu. Die Bundesregierung führt die Audits für Unternehmen dieser Stufe durch.
CMMC-Anforderungen im Detail
In der nachstehenden Tabelle finden Sie eine Zusammenfassung der CMMC-Anforderungen nach Stufe, geordnet nach den relevanten Sicherheitskontrollen gemäß NIST SP 800-171r2, die als integrierte Fragebögen in der Prevalent-Plattform enthalten sind. Informationen zu Level 3 werden vom US DoD zu einem späteren Zeitpunkt veröffentlicht und enthalten eine Teilmenge der in NIST SP 800-172 spezifizierten Sicherheitsanforderungen.

 

 

 

Zugangskontrolle
Stufe 1

3.1.1 Autorisierte Zugangskontrolle
3.1.2 Transaktions- und Funktionskontrolle
3.1.20 Externe Verbindungen
3.1.22 Kontrolle öffentlicher Informationen

 Stufe 2

3.1.3 Kontrolle des CUI-Flusses
3.1.4 Trennung der Zuständigkeiten
3.1.5 Geringstmögliches Privileg
3.1.6 Nutzung nicht privilegierter Konten
3.1.7 Privilegierte Funktionen
3.1.8 Erfolglose Anmeldeversuche
3.1.9 Datenschutz- und Sicherheitshinweise
3.1.10 Sitzungssperre
3.1.11 Sitzungsbeendigung
3.1.12 Fernzugriff steuern
3.1.13 Fernzugriffs-Konfigurierbarkeit
3.1.14 Fernzugriffs-Routing
3.1.15 Privilegierter Fernzugriff
3.1.16 Autorisierung des drahtlosen Zugriffs
3.1.17 Schutz des drahtlosen Zugriffs
3.1.18 Verbindung zu mobilen Geräten
3.1.19 Verschlüsselung von CUI auf mobilen Geräten
3.1.21 Verwendung tragbarer Speicher
Sensibilisierung und Schulung
Stufe 1

K.A.

 Stufe 2

3.2.1 Rollenbasiertes Risikobewusstsein
3.2.2 Rollenbasiertes Training
3.2.3 Sensibilisierung für Insider-Bedrohungen

Durchführung von CMMC-Bewertungen für alle Stufen
Prüfung und Rechenschaftspflicht
Stufe 1

K.A.

 Stufe 2

3.3.1 Systemüberprüfung
3.3.2 Benutzer-Rechenschaftspflicht
3.3.3 Ereignisüberprüfung
3.3.4 Alarmierung bei Audit-Fehlern
3.3.5 Audit-Korrelation
3.3.6 Reduktion und Berichterstattung
3.3.7 Autoritative Zeitquelle
3.3.8 Audit-Schutz
3.3.9 Audit-Verwaltung
Konfigurationsmanagement
Stufe 1

K.A.

 Stufe 2

3.4.1 Systemgrundlagen
3.4.2 Durchsetzung der Sicherheitskonfiguration
3.4.3 Verwaltung von Systemänderungen
3.4.4 Analyse der Sicherheitsauswirkungen
3.4.5 Zugriffsbeschränkungen bei Änderungen
3.4.6 Mindestfunktionalität
3.4.7 Unwesentliche Funktionalität
3.4.8 Richtlinie für die Ausführung von Anwendungen
3.4.9 Vom Benutzer installierte Software
Identifizierung und Authentifizierung
Stufe 1

3.5.1 Identifizierung
3.5.2 Authentifizierung

 Stufe 2

3.5.3 Multi-Faktor-Authentifizierung
3.5.4 Wiederherstellungssichere Authentifizierung
3.5.5 Wiederverwendung von Identifikatoren
3.5.6 Handhabung von Identifikatoren
3.5.7 Passwort-Komplexität
3.5.8 Wiederverwendung von Passwörtern
3.5.9 Temporäre Passwörter
3.5.10 Kryptographisch geschützte Passwörter
3.5.11 Obskure Rückmeldungen
Reaktion auf Vorfälle
Stufe 1

K.A.

 Stufe 2

3.6.1 Behandlung von Zwischenfällen
3.6.2 Berichterstattung über Vorfälle
3.6.3 Testen der Reaktion auf Vorfälle
Wartung
Stufe 1

K.A.

 Stufe 2

3.7.1 Wartung durchführen
3.7.2 Kontrolle der Systemwartung
3.7.3 Desinfektion der Ausrüstung
3.7.4 Medieninspektion
3.7.5 Nicht-lokale Wartung
3.7.6 Wartungspersonal
Medienschutz
Stufe 1

3.8.3 Medienentsorgung

 Stufe 2

3.8.1 Medienschutz
3.8.2 Medienzugriff
3.8.4 Medienkennzeichnung
3.8.5 Rechenschaftspflicht für Medien
3.8.6 Verschlüsselung tragbarer Speicher
3.8.7 Austauschbare Medien
3.8.8 Gemeinsam genutzte Medien
3.8.9 Schutz von Backups
Personelle Sicherheit
Stufe 1

K.A.

 Stufe 2

3.9.1 Überprüfung von Personen
3.9.2 Personalmaßnahmen
Physischer Schutz
Stufe 1

3.10.1 Beschränkung des physischen Zugangs
3.10.3 Besucher begleiten
3.10.4 Protokolle über den physischen Zugang
3.10.5 Verwalten des physischen Zugangs

 Stufe 2

3.10.2 Überwachungseinrichtung
3.10.6 Alternative Arbeitsorte
Risikobewertung Zeile 2, Spalte 2
Stufe 1

K.A.

 Stufe 2

3.11.1 Risikobewertungen
3.11.2 Schwachstellen-Scan
3.11.3 Behebung von Schwachstellen
Bewertung der Sicherheit
Stufe 1

K.A.

 Stufe 2

3.12.1 Bewertung der Sicherheitskontrollen
3.12.2 Aktionsplan
3.12.3 Überwachung der Sicherheitskontrollen
3.12.4 Plan zur Gefahrenabwehr im System
System- und Kommunikationsschutz
Stufe 1

3.13.1 Begrenzungsschutz
3.13.5 Trennung des öffentlich zugänglichen Systems

 Stufe 2

3.13.2 Sicherheitstechnik
3.13.3 Role Separation
3.13.4 Gemeinsame Ressourcenkontrolle
3.13.6 Netzwerkkommunikation ausnahmsweise
3.13.7 Aufgeteiltes Tunneling
3.13.8 Daten im Transit
3.13.9 Beendigung von Verbindungen
3.13.10 Schlüsselverwaltung
3.13.11 CUI-Verschlüsselung
3.13.12 Kollaborative Gerätekontrolle
3.13.13 Mobiler Code
3.13.14 Sprache über das Internetprotokoll
3.13.15 Authentizität der Kommunikation
3.13.16 Daten im Ruhezustand
System- und Informationsintegrität
Stufe 1

3.14.1 Behebung von Fehlern
3.14.2 Schutz vor bösartigem Code
3.14.4 Update-Schutz vor bösartigem Code
3.14.5 System- und Dateiüberprüfung

 Stufe 2

3.14.3 Sicherheitswarnungen und -hinweise
3.14.6 Kommunikation auf Angriffe überwachen
3.14.7 Unbefugte Nutzung erkennen

Die Prevalent Third-Party Risk Management Platform verfügt über integrierte Fragebögen für Level 1 und Level 2, mit denen Lieferanten sich selbst und Auditoren ihre Kunden anhand der jeweiligen Level bewerten können. Sobald die Zertifizierungsanforderungen für Level 3 veröffentlicht worden sind, wird Prevalent den entsprechenden Fragebogen zur Plattform hinzufügen.

C3PAOs können:

  • Laden Sie Kunden zur Prevalent-Plattform ein, um ihre standardisierte Level-2-Kontrollbewertung in einer benutzerfreundlichen, sicheren Umgebung durchzuführen.
  • Automatisieren Sie Mahnungen an Lieferanten oder Kunden, um den Zeitaufwand für die Durchführung von Bewertungen zu reduzieren.
  • Zentralisierung der Belege, die als Nachweis für das Vorhandensein von Kontrollen vorgelegt werden
  • Zeigen Sie ein einziges Register der gemeldeten Risiken an, je nachdem, wie der Kunde oder Lieferant auf die Fragen antwortet.
  • Empfehlungen zur Abhilfe bei fehlgeschlagenen Kontrollen abgeben
  • Bereitstellung von maßgeschneiderten Berichten über den aktuellen Stand der Einhaltung von Vorschriften, die die risikomindernde Wirkung der Anwendung künftiger Kontrollen aufzeigen

Jeder DoD-Lieferant kann eine Selbstbewertung der Stufe 1 oder 2 durchführen, um:

  • Sich selbst anhand der 17 Kontrollen bewerten, die zur Messung der Einhaltung der Stufe 1 erforderlich sind
  • Sich selbst anhand der 110 Kontrollen bewerten, die zur Messung der Einhaltung der Stufe 2 erforderlich sind
  • Hochladen von Unterlagen und Belegen zur Unterstützung der Antworten auf Fragen
  • Transparenz über den aktuellen Stand der Einhaltung von Vorschriften
  • Nutzen Sie die integrierten Abhilfemaßnahmen, um Mängel zu beheben.
  • Erstellung von Berichten zur Messung der Konformität für Rechnungsprüfer

Weitere Informationen darüber, wie Prevalent zur Sicherung der Lieferkette des US-Verteidigungsministeriums beiträgt, finden Sie auf unserer CMMC-Compliance- Seite. Laden Sie unser Compliance-Whitepaper herunter oder fordern Sie noch heute eine Demo der Prevalent-Plattform an.

 

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.