Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > CMMC Compliance > CMMC 2.0 Bereitschaft im DIB: Forschungserkenntnisse zu Compliance-Grundlagen
CMMC 2.0 Bereitschaft im DIB: Wichtige Berichtsergebnisse

CMMC 2.0 Bereitschaft im DIB: Forschungserkenntnisse zu Compliance-Grundlagen

von Danielle Barbour updated März 25, 2025 CMMC Compliance
Lesezeit: 3 Minuten

Cybersecurity-Schwachstellen in der Lieferkette der Verteidigungsindustrie stellen eine der bedeutendsten Herausforderungen für die nationale Sicherheit der Vereinigten Staaten dar. Da Gegner zunehmend kleinere Auftragnehmer als Einstiegspunkte nutzen, um auf vertrauliche Informationen zuzugreifen, hat das Verteidigungsministerium das Cybersecurity Maturity Model Certification (CMMC)-Rahmenwerk eingeführt, um einen angemessenen Schutz von kontrollierten, nicht klassifizierten Informationen (CUI) in der gesamten Verteidigungsindustrie (DIB) sicherzustellen.

Eine bahnbrechende Studie von Kiteworks und Coalfire bietet beispiellose Einblicke, wie DIB-Organisationen die CMMC 2.0 Level 2 Compliance angehen. Der Bericht “State of CMMC 2.0 Preparedness in the DIB” befragte 209 Organisationen unterschiedlicher Größe und Rollen und enthüllte klare Muster in Compliance-Ansätzen, Implementierungsherausforderungen und strategischen Entscheidungen, die Verteidigungsauftragnehmer in jeder Phase ihrer Zertifizierungsreise leiten können.

Diese Forschung kommt zu einem kritischen Zeitpunkt – unmittelbar nach der Veröffentlichung der 32 CFR Final Rule im Dezember 2024 – und erfasst die Reaktionen der Organisationen auf die finalisierten Anforderungen. Die Ergebnisse zeigen, dass Organisationen, die strukturierte, systematische Ansätze zur Compliance verfolgen, durchweg bessere Sicherheitsresultate in allen gemessenen Dimensionen erzielen und eine Roadmap für effektive Implementierungsstrategien bieten.

CMMC 2.0 Compliance Fahrplan für DoD Auftragnehmer

Jetzt lesen

Verständnis der CMMC 2.0 Level 2 Anforderungen

CMMC 2.0 stellt eine bedeutende Verfeinerung des ursprünglichen Zertifizierungsmodells dar, indem es von fünf auf drei Level reduziert wird, während strenge Standards zum Schutz sensibler Verteidigungsinformationen beibehalten werden. Level 2 – der Fokus dieser Forschung – stimmt direkt mit NIST SP 800-171 überein und umfasst 110 Sicherheitskontrollen in 14 Bereichen.

Die Entwicklung des CMMC-Rahmenwerks

Das Verteidigungsministerium entwickelte CMMC, um anhaltende Cybersecurity-Schwachstellen in seiner Lieferkette zu adressieren. Das Rahmenwerk erkennt an, dass Gegner häufig kleinere Auftragnehmer als Einstiegspunkte nutzen, um auf vertrauliche Informationen zuzugreifen, und schafft einen umfassenden Ansatz zur Sicherung von Verteidigungsinformationen in der gesamten Lieferkette.

Im Gegensatz zu früheren Selbstattestierungsmodellen bietet CMMC einen Verifizierungsmechanismus, um die tatsächliche Umsetzung der erforderlichen Sicherheitspraktiken sicherzustellen. Dieser Wechsel von vertrauensbasierter zu verifizierungsbasierter Compliance stellt eine grundlegende Veränderung in der Herangehensweise des DoD an die Sicherheit der Lieferkette dar.

Organisationen, die eine CMMC Level 2 Zertifizierung anstreben, müssen alle 110 erforderlichen Praktiken umsetzen und entweder durch Selbstbewertung (für ausgewählte Verträge) oder durch eine von einer Certified Third-Party Assessment Organization (C3PAO) durchgeführte Drittbewertung geprüft werden. Diese Anforderungen gelten für Organisationen jeder Größe innerhalb der DIB, die CUI handhaben, von kleinen Subunternehmern bis hin zu großen Hauptauftragnehmern.

Das Rahmenwerk arbeitet neben ergänzenden föderalen Cybersecurity-Vorschriften, einschließlich der Federal Acquisition Regulation (FAR) Klausel 52.204-21 und dem Defense Federal Acquisition Regulation Supplement (DFARS) Klausel 252.204-7012. Dieses regulatorische Ökosystem schafft einen umfassenden Ansatz zur Sicherung von Verteidigungsinformationen in der gesamten Lieferkette.

Umfragemethodik und Teilnehmerdemografie

Die Kiteworks/Coalfire-Studie bietet durch ihre vielfältige und repräsentative Stichprobe von DIB-Organisationen außergewöhnliche Validität. Die Forschung sammelte Antworten von 209 Teilnehmern anhand von 22 gezielten Fragen zur Bewertung des Compliance-Status, der Implementierungsansätze und der Herausforderungen.

Umfassende organisatorische Repräsentation

Die befragten Organisationen umfassten alle Größenkategorien innerhalb des Verteidigungssektors:

  • Kleine Organisationen mit weniger als 500 Mitarbeitern (32%)
  • Mittelgroße Organisationen mit 500-9.999 Mitarbeitern (48%)
  • Große Organisationen mit 10.000+ Mitarbeitern (20%)

Diese Verteilung ermöglicht eine detaillierte Analyse, wie die Größe der Organisation die CMMC-Bereitschaftsansätze und -herausforderungen beeinflusst und wichtige Muster in der Ressourcenallokation und den Implementierungsstrategien in verschiedenen organisatorischen Kontexten aufdeckt.

Vielfältige Führungsperspektiven

Die Umfrage erfasste Einblicke aus dem gesamten Führungsspektrum:

  • CIO/IT-Leiter (20%)
  • Cybersecurity-Leiter (17%)
  • CEO/Gründer (14%)
  • Risikomanagement-Leiter (15%)
  • General Counsel/Juristische Leiter (8%)
  • COOs (4%)
  • CFOs (1%)

Diese Führungsvielfalt ermöglicht die Analyse, wie funktionale Rollen die Wahrnehmung der Compliance-Bereitschaft und -Prioritäten beeinflussen, und zeigt wichtige Unterschiede auf, wie technische Spezialisten und Führungskräfte die CMMC-Implementierung angehen.

Die Datenanalyse konzentrierte sich darauf, Korrelationen zwischen organisatorischen Merkmalen und Compliance-Ansätzen zu identifizieren, Beziehungen zwischen der Fertigstellung der Lückenanalyse, der Dokumentationsreife und der Implementierung kritischer Sicherheitskontrollen zu untersuchen. Zur klareren Mustererkennung wurden die Antworten in drei Kategorien gruppiert: kleine (<500 Mitarbeiter), mittlere (500-9.999 Mitarbeiter) und große Organisationen (10.000+ Mitarbeiter).

Wichtige Erkenntnisse zur CMMC 2.0-Bereitschaft in der DIB

  1. Lückenanalyse bildet die kritische Grundlage für den Erfolg der CMMC 2.0-Compliance

    Organisationen, die umfassende Lückenanalysen abschließen, sind 73% wahrscheinlicher, vollständig dokumentierte Cybersecurity-Richtlinien zu haben, und 77% wahrscheinlicher, verifizierte Verschlüsselungs-Standards zu befolgen, verglichen mit denen, die noch keine Bewertung begonnen haben. Diese auffällige Korrelation zeigt, dass eine gründliche Sicherheitsbewertung gegenüber allen 110 NIST SP 800-171-Kontrollen den wesentlichen Fahrplan für alle nachfolgenden Compliance-Aktivitäten bietet.

  2. Dokumentationsreife dient als starker Prädiktor für die Effektivität der Sicherheitsimplementierung

    Organisationen mit vollständig dokumentierten Richtlinien implementieren Verschlüsselungsstandards in deutlich höheren Raten (83%) im Vergleich zu denen mit teilweiser Dokumentation (49%), während Organisationen mit minimaler Dokumentation 30-mal wahrscheinlicher inkonsistente Verschlüsselung von CUI melden. Diese grundlegende Beziehung hebt hervor, wie umfassende Richtlinienentwicklung die notwendige Struktur und Klarheit für eine konsistente, verifizierbare Sicherheitskontrollimplementierung schafft.

  3. Bedeutende Wahrnehmungslücken bestehen zwischen technischen Spezialisten und Führungskräften

    Cybersecurity-Leiter berichten von deutlich niedrigeren Raten der Dokumentationsreife (54%) als CEO/Gründer (80%), was auf potenzielle Kommunikationsstörungen oder Unterschiede in den Bewertungsstandards hindeutet. Diese Diskrepanz unterstreicht die Bedeutung der Ausrichtung technischer und exekutiver Perspektiven durch strukturierte Bewertungsmethoden und regelmäßige funktionsübergreifende Kommunikation, um eine realistische Compliance-Planung sicherzustellen.

  4. Die Größe der Organisation beeinflusst die Compliance-Bereitschaft, jedoch nicht so stark wie ein systematischer Ansatz

    Während große Organisationen leicht höhere Raten abgeschlossener Lückenanalysen (47%) und vollständig dokumentierter Richtlinien (68%) im Vergleich zu kleinen Organisationen (38% und 58% respektive) berichteten, deutet die durchweg niedrige Rate minimaler Dokumentation in allen Größenkategorien darauf hin, dass ein grundlegendes Bewusstsein unabhängig von den Ressourcen der Organisation besteht. Dieses Muster legt nahe, dass ein strukturierter, systematischer Ansatz zur Compliance in allen Organisationsgrößen effektiv sein kann.

  5. Die Entwicklung von POA&M korreliert stark mit der allgemeinen Compliance-Reife

    Organisationen mit abgeschlossenen Lückenanalysen waren mehr als doppelt so wahrscheinlich, detaillierte POA&Ms mit zugewiesenen Verantwortlichkeiten und Zeitplänen zu haben (71%) im Vergleich zu denen, die noch keine Lückenanalysen begonnen hatten (33%). Diese Erkenntnis hebt den praktischen operativen Wert hervor, von allgemeinem Bewusstsein zu spezifischer, umsetzbarer Compliance-Planung mit klaren Verantwortlichkeiten und Zeitplänen für Abhilfemaßnahmen überzugehen.

Lückenanalyse: Die Grundlage des CMMC-Erfolgs

Die Durchführung einer formalen Lückenanalyse gegenüber den NIST SP 800-171-Anforderungen erweist sich in der Forschung als die kritische Grundlage für alle nachfolgenden Compliance-Aktivitäten. Organisationen, die gründliche Lückenanalysen durchführen, zeigen signifikant höhere Raten strukturierter Compliance-Vorbereitung.

Die Auswirkungen einer umfassenden Bewertung

Unter den befragten Organisationen gaben 41% an, eine gründliche Lückenanalyse abgeschlossen zu haben, während 37% angaben, dass ihre Lückenanalyse derzeit im Gange sei. Besorgniserregenderweise hatten 16% noch nicht begonnen, planten jedoch bald zu beginnen, und 6% waren sich ihres Lückenanalyse-Status unsicher – was auf potenzielle Kommunikationsprobleme oder Planungslücken innerhalb dieser Organisationen hindeutet.

Die Daten zeigen auffällige Unterschiede in der Bereitschaft zwischen bewertungsfokussierten Organisationen und anderen:

Organisationen mit abgeschlossenen Lückenanalysen waren signifikant wahrscheinlicher, bereits erfahrene externe Partner engagiert zu haben, wobei 62% mit Drittberatern, Registered Provider Organizations (RPOs) oder C3PAOs zusammenarbeiteten, verglichen mit nur 40% der Organisationen mit laufenden Lückenanalysen und 21% derjenigen, die noch nicht begonnen hatten. Dieses Muster legt nahe, dass gründliche Lückenanalysen Organisationen helfen, die Komplexität der Compliance zu erkennen und den Wert spezialisierter, externer Expertise zu schätzen.

Die Korrelation zwischen dem Abschluss der Lückenanalyse und der Dokumentationsreife zeigt ein weiteres kritisches Muster. Organisationen mit abgeschlossenen Lückenanalysen berichteten von höheren Raten vollständig dokumentierter Cybersecurity-Richtlinien und -Verfahren (73%) im Vergleich zu denen mit laufenden Analysen (44%) oder noch nicht begonnenen (28%). Diese Korrelation hebt hervor, wie Lückenanalysen konkrete Dokumentationsverbesserungen vorantreiben, indem sie spezifische Mängel identifizieren, die behoben werden müssen.

Der Status der Lückenanalyse korreliert auch stark mit der Verschlüsselungsimplementierung. Unter den Organisationen mit abgeschlossenen Lückenanalysen berichteten 77%, dass sie dokumentierte Verschlüsselungsstandards mit Verifizierung der Implementierung befolgen. Dieser Prozentsatz sinkt auf 63% für Organisationen mit laufenden Lückenanalysen und nur 42% für Organisationen, die noch nicht begonnen haben. Diese Unterschiede betonen die Rolle von Lückenanalysen bei der Identifizierung und Behebung spezifischer technischer Kontrollmängel.

Die Entwicklung von Plan of Action and Milestones (POA&M) zeigt vielleicht die stärkste Korrelation mit dem Status der Lückenanalyse. Organisationen mit abgeschlossenen Lückenanalysen waren mehr als doppelt so wahrscheinlich, detaillierte POA&Ms mit zugewiesenen Verantwortlichkeiten und Zeitplänen zu haben (71%) im Vergleich zu denen, die noch keine Lückenanalysen begonnen hatten (33%). Diese Erkenntnis unterstreicht den praktischen operativen Wert von Lückenanalysen bei der Strukturierung von Abhilfemaßnahmen.

Lückenanalyse-Ansätze nach Organisationsgröße

Die Umfrage zeigte auch interessante Muster in der Beziehung zwischen dem Abschluss der Lückenanalyse und der Organisationsgröße:
Große Organisationen (10.000+ Mitarbeiter) berichteten von der höchsten Rate abgeschlossener Lückenanalysen mit 47%, verglichen mit 40% für mittlere Organisationen (500-9.999 Mitarbeiter) und 38% für kleine Organisationen (<500 Mitarbeiter). Mittlere Organisationen zeigten jedoch den höchsten Prozentsatz laufender Lückenanalysen (42%), was auf aktives Engagement mit Compliance-Anforderungen, aber potenzielle Ressourcenbeschränkungen bei der Fertigstellung der Bewertungen hindeutet.

Die Umfragedaten machen deutlich, dass Organisationen in verschiedenen Stadien der Lückenanalyse-Fertigstellung erheblich unterschiedliche CMMC-Bereitschaftsherausforderungen gegenüberstehen. Organisationen, die keine Lückenanalysen abgeschlossen haben, neigen dazu, mit grundlegenden Fragen zur Anwendbarkeit und zum Umfang der Anforderungen zu kämpfen, während sich Organisationen mit abgeschlossenen Analysen mehr auf spezifische technische Implementierungsherausforderungen und Ressourcenallokation konzentrieren. Diese Entwicklung unterstreicht die kritische Rolle von Lückenanalysen, um Organisationen vom allgemeinen Bewusstsein zu spezifischen, zielgerichteten Compliance-Bemühungen zu führen.

2024 Kiteworks Bericht zur Sicherheit und Compliance bei der Kommunikation sensibler Inhalte

Dokumentationsreife: Das entscheidende Bindeglied zur Implementierung

Die Umfrageergebnisse zeigen eine grundlegende Beziehung zwischen der Reife der Cybersecurity-Dokumentation einer Organisation und ihrer Effektivität bei der Implementierung spezifischer Sicherheitskontrollen, die für CMMC 2.0 Level 2 erforderlich sind. Die Dokumentationsreife dient sowohl als Indikator für die allgemeine Cybersecurity-Governance als auch als praktische Grundlage für eine konsistente Kontrollimplementierung.

Dokumentationsstatus in der DIB

Unter den befragten Organisationen:

  • 61% berichteten von vollständig dokumentierten und regelmäßig aktualisierten Cybersecurity-Richtlinien und -Verfahren
  • 32% gaben an, dass die Dokumentation teilweise vorhanden ist und laufend aktualisiert wird
  • 2% berichteten von minimaler Dokumentation mit Plänen für wesentliche Updates
  • 5% waren sich ihres Dokumentationsstatus unsicher

Diese Zahlen deuten darauf hin, dass, obwohl die Mehrheit der DIB-Organisationen die Bedeutung umfassender Dokumentation erkennt, ein erheblicher Teil immer noch mit Dokumentationslücken konfrontiert ist, die ihre Zertifizierungsbereitschaft beeinträchtigen könnten.

Die Umfrage zeigte interessante Variationen in der Dokumentationsreife je nach Unternehmensgröße. Große Organisationen (10.000+ Mitarbeiter) berichteten von der höchsten Rate vollständig dokumentierter Richtlinien mit 68%, verglichen mit 63% für mittlere Organisationen (500-9.999 Mitarbeiter) und 58% für kleine Organisationen (<500 Mitarbeiter). Der Prozentsatz der Organisationen mit minimaler oder unsicherer Dokumentation blieb jedoch in allen Größenkategorien konstant niedrig (3%-4%), was darauf hindeutet, dass ein grundlegendes Bewusstsein für Dokumentation unabhängig von den Ressourcen der Organisation besteht.

Dokumentation als Sicherheitsprädiktor

Die Korrelation zwischen Dokumentationsreife und der Effektivität der Sicherheitsimplementierung erweist sich als eine der bedeutendsten Erkenntnisse der Forschung. Diese Beziehung ist besonders in kritischen Sicherheitsbereichen offensichtlich:

Die Korrelation zwischen Dokumentationsreife und Verschlüsselungsimplementierung sticht als besonders signifikant hervor. Unter den Organisationen mit vollständig dokumentierten Richtlinien und Verfahren berichteten 83%, dass sie dokumentierte Verschlüsselungsstandards mit Verifizierung der Implementierung befolgen. Dieser Prozentsatz sinkt dramatisch auf 49% für Organisationen mit teilweise dokumentierten Richtlinien und 0% für diejenigen mit minimaler Dokumentation.

Noch aussagekräftiger ist, dass Organisationen mit minimaler Dokumentation 30-mal wahrscheinlicher inkonsistente Verschlüsselung von CUI (60%) melden im Vergleich zu Organisationen mit vollständig dokumentierten Richtlinien (2%). Diese deutlichen Unterschiede heben hervor, wie umfassende Dokumentation die Grundlage für eine konsistente, verifizierbare Sicherheitskontrollimplementierung schafft.

Drittanbieter-Zugriffskontrollen zeigen ähnliche Muster in Bezug auf die Dokumentationsreife. Von Organisationen mit vollständig dokumentierten Richtlinien berichteten 75%, dass sie über fortschrittliche Kontrollen und Systeme verfügen, um sicherzustellen, dass Drittparteien nur auf autorisierte CUI zugreifen können. Dieser Prozentsatz sinkt auf 56% für Organisationen mit teilweise dokumentierten Richtlinien und nur 20% für diejenigen mit minimaler Dokumentation. Dieses Muster zeigt, wie reife Dokumentationspraktiken die Implementierung komplexer technischer Kontrollen unterstützen, die klare Definitionen, Prozesse und Verifizierungsmechanismen erfordern.

Die Dokumentationsreife korreliert auch stark mit der Einbindung von Stakeholdern in die CMMC-Bereitschaftsbemühungen. Organisationen mit vollständig dokumentierten Richtlinien berichteten mehr als doppelt so häufig von hochgradig kollaborativen Ansätzen mit regelmäßigen funktionsübergreifenden Meetings (56%) im Vergleich zu denen mit teilweise dokumentierten Richtlinien (26%). Diese Beziehung hebt hervor, wie reife Dokumentationspraktiken sowohl eine breitere organisatorische Einbindung erfordern als auch erleichtern und eine positive Rückkopplungsschleife schaffen, die die allgemeine Sicherheitsgovernance verbessert.

Die Wahrnehmung der Dokumentationsreife variierte bemerkenswert je nach Rolle des Befragten und zeigte wichtige Unterschiede auf, wie funktionale Bereiche die Dokumentationsqualität bewerten. CEO/Gründer berichteten von der höchsten Rate vollständig dokumentierter Richtlinien (80%), während Cybersecurity-Leiter eine deutlich niedrigere Rate (54%) angaben. Diese Diskrepanz deutet auf potenzielle Kommunikationslücken oder Unterschiede in den Bewertungsstandards hin, wobei technische Spezialisten wahrscheinlich strengere Kriterien anwenden als die Führungsebene. COO-Befragte berichteten von der niedrigsten Rate vollständig dokumentierter Richtlinien (33%) und der höchsten Rate teilweiser Dokumentation (67%), was möglicherweise operative Bedenken hinsichtlich der Herausforderungen bei der Richtlinienimplementierung widerspiegelt.

Die Beziehung zwischen Dokumentationsreife und der Entwicklung von Plan of Action & Milestones (POA&M) bietet einen weiteren Indikator für die Rolle der Dokumentation in strukturierten Compliance-Ansätzen. Organisationen mit vollständig dokumentierten Richtlinien waren dreimal wahrscheinlicher, detaillierte POA&Ms mit zugewiesenen Verantwortlichkeiten und Zeitplänen zu haben (67%) im Vergleich zu denen mit teilweise dokumentierten Richtlinien (22%). Dieses Muster legt nahe, dass reife Dokumentationspraktiken den Übergang vom allgemeinen Bewusstsein zu spezifischer, umsetzbarer Compliance-Planung erleichtern.

Wichtige CMMC 2.0 Compliance-Erkenntnisse: Aufbau Ihrer Grundlage für den Zertifizierungserfolg

Die Forschung von Kiteworks und Coalfire bietet überzeugende Beweise dafür, dass Organisationen, die strukturierte Compliance-Ansätze verfolgen, über alle Sicherheitsdimensionen hinweg überlegene Ergebnisse erzielen. Die Daten zeigen deutlich, dass Lückenanalysen die wesentliche Grundlage für den Erfolg der Compliance bieten, wobei Organisationen, die umfassende Bewertungen abschließen, deutlich bessere Ergebnisse in der Dokumentation, der Verschlüsselungsimplementierung und den Drittanbieter-Kontrollen erzielen.

Ebenso wichtig zeigt die Forschung, dass die Dokumentationsreife ein kritischer Prädiktor für die Effektivität der Sicherheitsimplementierung ist. Organisationen mit robuster Dokumentation zeigen eine deutlich stärkere Leistung bei der Implementierung technischer Kontrollen, was darauf hindeutet, dass die umfassende Richtlinienentwicklung einen grundlegenden Schritt auf dem Weg zur Compliance darstellt.

Für Organisationen, die mit ihrer CMMC 2.0 Level 2-Vorbereitung beginnen, ist die Botschaft klar: Beginnen Sie mit einer gründlichen Bewertung des aktuellen Sicherheitsstatus gegenüber allen 110 NIST SP 800-171-Kontrollen und priorisieren Sie die umfassende Dokumentationsentwicklung. Diejenigen, die bereits im Gange sind, sollten ihre Dokumentationsreife bewerten und sicherstellen, dass die Wahrnehmungen der Führungsebene mit der technischen Realität übereinstimmen.

FAQs

Die Lückenanalyse dient als kritische Grundlage für alle nachfolgenden Compliance-Aktivitäten, wobei die Forschung zeigt, dass Organisationen, die gründliche Lückenanalysen abschließen, 73% wahrscheinlicher vollständig dokumentierte Cybersecurity-Richtlinien haben. Die Daten zeigen, dass Organisationen mit abgeschlossenen Lückenanalysen auch signifikant höhere Raten der Verschlüsselungsimplementierung (77% gegenüber 42%) und detaillierte POA&Ms mit zugewiesenen Verantwortlichkeiten (71% gegenüber 33%) aufweisen, was hervorhebt, wie umfassende Bewertungen konkrete Verbesserungen vorantreiben, indem sie spezifische Mängel identifizieren, die behoben werden müssen.

Die Dokumentationsreife dient sowohl als Indikator für die allgemeine Cybersecurity-Governance als auch als praktische Grundlage für eine konsistente Kontrollimplementierung, wobei Organisationen mit vollständig dokumentierten Richtlinien Verschlüsselungsstandards in deutlich höheren Raten implementieren (83%) im Vergleich zu denen mit teilweiser Dokumentation (49%). Die Forschung zeigt, dass Organisationen mit minimaler Dokumentation 30-mal wahrscheinlicher inkonsistente Verschlüsselung von CUI melden, was zeigt, wie umfassende Dokumentation die notwendige Grundlage für eine verifizierbare Sicherheitskontrollimplementierung schafft.

Die Umfrage zeigte signifikante Wahrnehmungslücken, wobei CEO/Gründer eine viel höhere Dokumentationsreife (80%) berichteten als Cybersecurity-Leiter (54%), was auf potenzielle Kommunikationsfehler zwischen technischen Teams und der Führungsebene hindeutet. COO-Befragte berichteten von der niedrigsten Rate vollständig dokumentierter Richtlinien (33%) und der höchsten Rate teilweiser Dokumentation (67%), was möglicherweise operative Bedenken hinsichtlich der Herausforderungen bei der Richtlinienimplementierung widerspiegelt, die für andere Führungsrollen möglicherweise nicht vollständig sichtbar sind.

Große Organisationen (10.000+ Mitarbeiter) berichteten von der höchsten Rate abgeschlossener Lückenanalysen mit 47% und vollständig dokumentierter Richtlinien mit 68%, verglichen mit kleinen Organisationen (<500 Mitarbeiter) mit 38% und 58% respektive. Mittlere Organisationen zeigten jedoch den höchsten Prozentsatz laufender Lückenanalysen (42%), was auf aktives Engagement mit Compliance-Anforderungen, aber potenzielle Ressourcenbeschränkungen bei der Fertigstellung der Bewertungen hindeutet, während die durchweg niedrige Rate minimaler Dokumentation in allen Größenkategorien (3-4%) darauf hinweist, dass ein grundlegendes Bewusstsein für Dokumentation unabhängig von den Ressourcen der Organisation besteht.

Organisationen sollten mit einer gründlichen Bewertung des aktuellen Sicherheitsstatus gegenüber allen 110 NIST SP 800-171-Kontrollen beginnen, da die Forschung zeigt, dass diese umfassende Lückenanalyse die wesentliche Grundlage für alle nachfolgenden Compliance-Aktivitäten bietet. Der zweite kritische Schritt ist die Priorisierung der umfassenden Dokumentationsentwicklung, die die Forschung als grundlegenden Prädiktor für die Effektivität der Sicherheitsimplementierung über alle Sicherheitsdimensionen hinweg aufzeigt, von der Verschlüsselungsimplementierung bis hin zu Drittanbieter-Zugriffskontrollen.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks