Kurs setzen auf CMMC Level 2 Compliance: Einblicke und Tipps von einem CMMC-Experten
Am 4. November 2021 hat das US-Verteidigungsministerium (DoD) die aktualisierte Version seines Cybersecurity Maturity Model Certification (CMMC) 2.0 vorgestellt. Diese neue Version beinhaltet ein gestuftes System von CMMC-Zertifizierungsstufen, das dazu dient, Lieferanten im Verteidigungsindustriebasis (DIB) bei der Bewertung und Verbesserung ihrer Cybersicherheitslage zu unterstützen. Ziel ist es sicherzustellen, dass alle Auftragnehmer des DoD geeignete Cybersicherheitsmaßnahmen und -protokolle nutzen, um kontrollierte nicht klassifizierte Informationen (CUI) und Informationen zu Bundesverträgen (FCI) zu schützen.
Der CMMC-Zertifizierungsprozess ist mühsam, aber unser CMMC 2.0 Compliance-Fahrplan kann helfen.
CMMC Level 2 ist ein entscheidender Meilenstein für Verteidigungsauftragnehmer. Es konzentriert sich auf mittlere Cyberhygiene und dient als logischer Fortschritt für Organisationen, um von Level 1 aufzusteigen. Neben dem Schutz von FCI und CUI hilft die Einhaltung von Level 2 Organisationen, sich besser gegen schwerwiegendere Cyberbedrohungen zu verteidigen als diejenigen, die auf Level 1 abgedeckt sind. Während Level 1 nur eine Selbstbestätigung erfordert, benötigt Level 2 eine Selbstbestätigung und Zertifizierung durch eine zertifizierte Drittprüfungsorganisation (C3PAOs).
CMMC 2.0 Compliance-Fahrplan für DoD-Auftragnehmer
CMMC 2.0 Level 2 Compliance-Anforderungen
CMMC-Level 2 ist eine Zwischenstufe, die von Unternehmen verlangt, eine bestimmte Reihe von Sicherheitskontrollen umzusetzen, um CUI zu schützen. Die Konformität mit CMMC Level 2 wird anhand von 72 Praktiken in 17 Bereichen bewertet, die ein breites Spektrum an Cybersicherheitsmaßnahmen abdecken.
Der erste Satz von Anforderungen fällt unter den Bereich Zugriffskontrolle. Sie schreiben vor, dass Organisationen Systemzugriffsanforderungen festlegen, den internen Systemzugriff steuern, den Datenzugriff auf autorisierte Benutzer beschränken und verhindern müssen, dass nicht-privilegierte Benutzer Funktionen ausführen, die zu Sicherheitskompromissen führen könnten.
Als nächstes kommt Prüfung und Verantwortlichkeit, die von Unternehmen verlangt, Prüfanforderungen zu definieren, Systemprüfprotokolle zu erstellen und aufzubewahren sowie Prüfprotokolle regelmäßig zu überprüfen und zu aktualisieren. Zusätzlich sollte es auch Prozesse geben, um Prüfinformationen und -werkzeuge vor unbefugtem Zugriff zu schützen und etwaige Mängel zu melden und zu beheben.
Das Konfigurationsmanagement verlangt von einer Organisation, Sicherheitskonfigurationseinstellungen für alle vernetzten Informationssysteme zu etablieren und durchzusetzen. Dies beinhaltet das Verfolgen, Steuern und korrekte Verwalten von Änderungen am System, die Nutzung von nicht autorisierter Software zu verhindern und den Zugriff auf Werkzeuge zur Konfigurationsänderung auf autorisiertes Personal zu beschränken.
Identifikation und Authentifizierung ist ein weiterer entscheidender Bereich. Dies erfordert von Organisationen, die Benutzer von Informationssystemen und Prozesse, die im Namen von Benutzern handeln, zu identifizieren und ihre Identitäten vor dem Aufbau einer Sitzung zu authentifizieren – dies könnte durch Mehrfaktorauthentifizierung oder die Durchsetzung verschlüsselter Sitzungsidentifikatoren geschehen.
Im Bereich der Reaktion auf Vorfälle müssen Organisationen eine betriebliche Fähigkeit zur Handhabung von Vorfällen etablieren, Vorfälle verfolgen, dokumentieren und an die entsprechenden Organisationen melden sowie die Reaktion auf Vorfälle und deren Eskalation gründlich analysieren.
Wartung und Mediensicherung sind ebenfalls wichtige Bereiche in den CMMC Level 2-Anforderungen. Regelmäßige Systemwartung, zeitnahe Behebung von Mängeln, Inspektion von Werkzeugen, Schutz und Säuberung digitaler Medien, Kontrolle des Zugriffs auf und Kennzeichnung von Medien sind alle wesentlich für die Compliance.
Andere Bereiche wie Personalsicherheit, physischer Schutz, Risikobewertung, Sicherheitsbewertung, Schutz von Systemen und Kommunikation, Integrität von Systemen und Informationen, Wiederherstellung, Situationsbewusstsein, Asset-Management, Cybersicherheits-Governance und Management von Lieferkettenrisiken haben ebenfalls ihre spezifischen Anforderungen. Diese können von der Durchführung von Personalüberprüfungen, physischer Überwachung und Kontrolle von Zugangspunkten, regelmäßigen Risikobewertungen, Entwicklung und Implementierung von Plänen für Wiederherstellung und Kontinuität bis hin zum Management von Lieferkettenrisiken reichen.
Von Organisationen wird auch erwartet, dass sie einen Plan erstellen und aufrechterhalten, der das Management von Aktivitäten zur Implementierung von Praktiken aufzeigt. Der Plan beschreibt die Mission, Ziele, Projektpläne, Ressourcen, Schulungen und Stakeholder, um die Compliance mit Level 2 zu erreichen.
Insgesamt präsentieren die CMMC Level 2-Anforderungen einen umfassenden Satz von Cybersicherheitspraktiken. Sie halten eine Balance zwischen umfangreichen Sicherheitsmaßnahmen und praktischer Machbarkeit für Organisationen, um den effektiven Schutz von CUI zu gewährleisten, ohne signifikante betriebliche Störungen zu verursachen. Obwohl die Einhaltung dieser Standards komplex erscheinen mag, führt sie letztendlich zu einer verbesserten Reife der Cybersicherheit, reduziert Schwachstellen und potenzielle Risiken.
WICHTIGE ERKENNTNISSE
- Verstehen der CMMC 2.0 Level 2 Compliance:
CMMC 2.0 verbessert die Cybersicherheitsmaßnahmen, während Level 2 auf mittlere Cyber-Hygiene und Zertifizierung durch einen CЗРАО abzielt. - Schlüsselanforderungen und -bereiche:
Die Compliance mit CMMC Level 2 umfasst 72 Praktiken in 17 Bereichen, einschließlich Zugriffskontrolle, Audit und Rechenschaftspflicht, Konfigurationsmanagement, unter anderem. - Vorbereitung und Compliance-Fahrplan:
Die Erreichung der CMMC 2.0 Level 2 Compliance erfordert einen systematischen Ansatz, einschließlich des Verständnisses spezifischer Anforderungen, der Durchführung einer Lückenanalyse und mehr. - Herausforderungen und Bildung:
Herausforderungen umfassen eine Diskrepanz zwischen Selbstbewertung und DoD-Bewertung sowie die Interpretation von Standards. Bildung ist entscheidend für eine genaue Selbstbewertung und erfolgreiche DoD-Bewertungen. - Kostenüberlegungen und Investition:
Die Vorbereitungs- und Implementierungskosten für die CMMC 2.0 Level 2 Compliance mögen entmutigend erscheinen, aber es ist eine Investition in Datensicherheit und Geschäftsnachhaltigkeit.
Erreichen der CMMC 2.0 Level 2-Compliance
Der Weg zur Erreichung der CMMC 2.0 Level 2-Konformität beginnt mit dem Verständnis der spezifischen Anforderungen dieser Zertifizierungsebene. Danach folgt eine Lückenanalyse, um Schwachstellen in den aktuellen Cybersicherheitspraktiken zu identifizieren, die verbessert werden müssen. Anschließend sollten Maßnahmen zur Behebung dieser Schwächen ergriffen werden, um die Cybersicherheitslage zu verbessern. Idealerweise sollte man mit erfahrenen Cybersicherheitsexperten zusammenarbeiten, die Ihre Organisation durch den Prozess führen können.
Vorbereitung auf die CMMC 2.0 Level 2-Compliance
Vorbereitung ist der Schlüssel, wenn man die CMMC 2.0 Level 2-Konformität anstrebt. Dies beinhaltet die Verbesserung der Cybersicherheitsschulungen für Mitarbeiter, die Verstärkung der Cybersicherheitsrichtlinien und die Etablierung eines proaktiven Systems zur Erkennung und Reaktion auf Cyberbedrohungen. Zudem ist es entscheidend, alle Prozesse und Praktiken als Nachweis der Konformität zu dokumentieren.
In einer kürzlichen Kitecast-Episode skizziert Michael Redman, Senior Associate bei Schellman und CMMC-Trainer und -Experte, eine erfolgreiche Roadmap zur CMMC Level 2-Konformität, die Auftragnehmer und Unterauftragnehmer des Verteidigungsministeriums nutzen können und enthüllt Einblicke und Tipps, die den Zertifizierungsprozess beschleunigen können.
Nimmt die Defense Industrial Base die CMMC Level 2-Compliance ernst?
Die Frage, wie ernst die Defense Industrial Base die CMMC Level 2-Konformität nimmt, ist vielschichtig. Die Antwort auf die Frage hängt weitgehend von der Art des Teilnehmers und deren jeweiligem Engagementniveau ab. Redman offenbart, dass, obwohl die meisten DIB-Teilnehmer die CMMC 2.0 sehr ernst nehmen, einige bei der Erstellung einer Roadmap zur Zertifizierung hinterherhinken. Dies schafft potenzielle Risiken in der DoD-Lieferkette.
Redman merkt an, dass große, mittelständische und kleine Unternehmen, die als Auftragnehmer oder Subunternehmer für das DoD tätig sind, die notwendigen Schritte unternehmen, um CMMC-konform zu werden. Viele haben sogar begonnen, bevor CMMC offiziell in Gesetzesform verankert wurde. Stufe 1 erfordert lediglich eine Selbstbescheinigung, während Stufe 2 eine Selbstbescheinigung plus eine Zertifizierung durch eine genehmigte Drittpartei benötigt.
Für die CMMC-Zertifizierung der Stufe 2 gehen die Teilnehmer der DoD-Lieferkette mit unterschiedlichen Engagementniveaus an die Regulierung heran. Einige warten ab, „wohin der Wind weht“, während andere sich an das Büro des CIO des DoD und das Justizministerium halten, die CMMC aktiv fördern.
Leider bleiben einige Teilnehmer hinsichtlich der Bedeutung der CMMC-Konformität im Dunkeln. Diese Teilnehmer benötigen die meiste Aufklärung, da sie mit unterschiedlichen und oft widersprüchlichen Meinungen und Ratschlägen überflutet wurden, was sie verwirrt und unmotiviert zurücklässt. Für diejenigen im DIB, die sich überfordert fühlen, ist es wichtig zu bedenken, dass CMMC hier bleibt und in Gesetzesform verankert wird. Daher ist es wesentlich, die richtigen Berater und C3PAOs zu finden, die sie in die richtige Richtung leiten können.
CMMC ist eine langfristige Investition, die dem DIB zahlreiche Vorteile bietet. Von einer erhöhten Rendite bis hin zu höheren Sicherheitsstandards und besseren Bewertungsfähigkeiten sind die potenziellen Gewinne immens. Die Herausforderung besteht darin, die Teilnehmer dazu zu ermutigen, die Bedeutung des Programms zu verstehen und die notwendigen Schritte zu unternehmen, unabhängig von der Größe und Art ihres Unternehmens, um die Konformität zu gewährleisten.
Die Herausforderung der CMMC-Selbstbewertung
Das US-Verteidigungsministerium (DoD) erfordert die Implementierung von CMMC für seine Zulieferer. Die Einhaltung der Stufen 1 und 2 erfordert, dass Zulieferer des DoD die Reife ihrer Cybersicherheitspraktiken basierend auf den in jeder Stufe festgelegten Kontrollen selbst bewerten. Stufe 2 erfordert zusätzlich eine Zertifizierung durch eine dritte Partei.
Die Herausforderung der CMMC-Selbstbewertung ist zweifacher Natur. Erstens gibt es eine Diskrepanz zwischen der Selbstbewertung der Unternehmen und der Bewertung durch das DoD. Obwohl 71% der Organisationen glauben, dass sie die Anforderungen der Praxis auf Stufe 2 erfüllen, hat das DoD in einer Studie festgestellt, dass nur 29% von ihnen konform sind. Das bedeutet, dass Organisationen ihre eigene Konformität nicht genau messen und sich daher nicht angemessen auf ihre CMMC-Bewertung vorbereiten können.
Die zweite Herausforderung der CMMC-Selbstbewertung ist die Sprache der Standards. Viele der Kontrollen sind auf eine Weise geschrieben, die unterschiedlich interpretiert werden kann. Mit dieser unklaren Sprache könnte ein CEO einer Organisation denken, sie seien konform basierend auf ihrer eigenen Definition des Wortes “implementiert”, obwohl es tatsächlich viel mehr dafür erfordert, konform zu sein. Dies kann dazu führen, dass Organisationen sich zu sicher in Bezug auf ihr Konformitätsniveau fühlen, wenn sie in Wirklichkeit nicht konform sind, was zu unterdurchschnittlichen Bewertungen durch das DoD führt.
Es ist wesentlich, dass Organisationen den Selbstbewertungsprozess ernst nehmen und die Erwartungen des DoD verstehen, um in ihrer CMMC-Bewertung erfolgreich zu sein. Organisationen müssen Klarheit über die Definitionen der Konformitätsanforderungen gewinnen und bereit sein, volle Konformität zu demonstrieren, um die DoD-Bewertung zu bestehen. Nur durch ein gründliches Verständnis der Anforderungen und eine genaue Selbstbewertung werden Unternehmen in der Lage sein, die Diskrepanz zwischen Selbstbewertung und DoD-Bewertung zu überbrücken.
Verständnis der phasenweisen Implementierung von CMMC 2.0
Das US-Verteidigungsministerium hat kürzlich angekündigt, dass es den Schritt der vorläufigen Regelung bei der Implementierung des neuen CMMC 2.0 überspringen und direkt zur endgültigen Regelung übergehen wird. Das ist eine große Sache, denn das bedeutet, dass mit der Veröffentlichung der endgültigen Regelung im Juni, CMMC 2.0 Realität wird.
Obwohl die Hochlaufphase voraussichtlich mindestens acht Monate dauern wird, unterliegen Organisationen, die ihre CMMC-Zertifizierung noch nicht erreicht haben, dennoch der Compliance mit 2.0. Das Verteidigungsministerium kann und wird zufällige Audits durchführen, um sicherzustellen, dass diese Organisationen den erforderlichen Standards entsprechen. Es ist wichtig, dass Unternehmen verstehen, dass die Bundesregierung hier keinen Spaß versteht, und Organisationen, die die notwendigen Anforderungen nicht erfüllt haben, könnten ihre Verträge gekündigt bekommen.
Die Rolle der C3PAOs im CMMC-Zertifizierungsprozess
Das CMMC wurde entwickelt, um FCI und CUI vor Cyberangriffen zu schützen. Die Einführung des CMMC führte auch zur Schaffung von CMMC Third Party Assessor Organizations (C3PAOs), die vom CMMC Accreditation Body (CMMC-AB) überwacht werden.
C3PAOs sind dafür verantwortlich, sicherzustellen, dass DoD-Vertragspartner und Subunternehmer die Anforderungen des CMMC erfüllen. C3PAOs sind für die Durchführung unabhängiger Inspektionen, Bewertungen und Empfehlungen zuständig, die es dem DoD ermöglichen, zu bestimmen, ob ein Lieferant die notwendigen Sicherheitskontrollen implementiert hat.
C3PAOs helfen dem DoD zu gewährleisten, dass das Informationssystem des Auftragnehmers sicher ist und dass der Auftragnehmer die Praxisanforderungen des CMMC einhält. Darüber hinaus bieten C3PAOs dem DoD Anleitung bei der Implementierung des CMMC und Verifizierung, dass ihre Cybersecurity-Praktiken denNational Institute of Standards and Technology (NIST) 800-171Standards entsprechen – die in CMMC Level 2 widergespiegelt sind.
Berücksichtigen Sie die Kosten der CMMC 2.0 Level 2-Compliance
Die Kosten für die Erlangung der CMMC 2.0 Level 2-Konformität können besonders für kleine und mittelständische Unternehmen oft entmutigend erscheinen. Diese Investition sollte jedoch nicht als unnötiger Aufwand betrachtet werden, sondern vielmehr als ein entscheidender Schritt zur Sicherung der Datensicherheit Ihres Unternehmens. Es ist wichtig zu bedenken, dass die Kosten je nach mehreren Faktoren erheblich variieren können, einschließlich der Größe Ihres Unternehmens, der Komplexität Ihrer Informationssysteme und dem aktuellen Zustand Ihrer Cybersecurity-Infrastruktur.
Die erste große Kostenkomponente der CMMC 2.0 Level 2-Konformität bezieht sich auf die Vorbereitung. Anfangs müssen Organisationen möglicherweise in Cybersecurity-Bewertungen investieren, um aktuelle Schwachstellen und Lücken in ihren Systemen zu identifizieren. Dieser Prozess hilft jedoch, einen klaren Fahrplan für notwendige Verbesserungen zu bieten.
Die zweite erhebliche Kostenquelle umfasst die Implementierung der erforderlichen Sicherheitskontrollen und -lösungen. Dies beinhaltet den Kauf, die Installation und die Wartung der notwendigen Hardware und Software. Es kann auch die Einarbeitung von Cybersecurity-Personal oder die Auslagerung von Dienstleistungen an Cybersecurity-Unternehmen erfordern.
Zuletzt entstehen erhebliche Kosten durch den Zertifizierungsprozess selbst, der die Beauftragung einer zertifizierten dritten Prüfungsorganisation (C3PAO) zur Überprüfung und Bestätigung Ihrer Konformität beinhaltet.
Nochmals, die Kosten für die Konformität mit CMMC 2.0 Level 2 können von einer Organisation zur anderen stark variieren, je nach ihren spezifischen Umständen. Daher ist es ratsam, vor Beginn dieser Konformitätsreise eine gründliche Kosten-Nutzen-Analyse durchzuführen. Nichtsdestotrotz ist der Kostenaufwand gerechtfertigt, wenn man die potenziellen negativen Auswirkungen der Nichteinhaltung betrachtet, die erhebliche Strafen oder den Verlust von Geschäftsmöglichkeiten aufgrund des verringerten Vertrauens von Kunden und Partnern umfassen können.
Obwohl die Einhaltung der CMMC 2.0 Level 2-Anforderungen finanzielle Herausforderungen mit sich bringt, ist sie eine wesentliche Investition in die zukünftige Cybersicherheit Ihres Unternehmens. Indem Sie Ihre Systeme und Daten vor potenziellen Bedrohungen schützen, bewahren Sie im Gegenzug den Ruf Ihres Unternehmens und fördern sein langfristiges Wachstum.
Kiteworks beschleunigt die CMMC 2.0 Level 2-Compliance
Das Private Content Network von Kiteworks unterstützt fast 90% der CMMC 2.0 Level 2-Anforderungen direkt aus der Box, mehr als jeder andere Anbieter von Kommunikation sensibler Inhalte in der Branche. Einer der Gründe für die Führungsposition von Kiteworks in Bezug auf CMMC ist die Tatsache, dass das Private Content Network FedRAMP-zertifiziert mit moderatem Level Impact ist und das über aufeinanderfolgende Jahre hinweg. Es weist auch Compliance mit anderen Branchenstandards wie FIPS 140-2, ISO 27001, 27017, 27018, SOC 2 und anderen.
Und mit einer gehärteten virtuellen Appliance, die das Private Content Network von Kiteworks umgibt, bleiben Datei- und E-Mail-Datenkommunikation für Organisationen des öffentlichen und privaten Sektors – sowohl intern als auch an Dritte gesendet – privat und vertraulich.
Um zu verstehen, wie Kiteworks Ihrer Organisation helfen kann, die CMMC-Compliance zu beschleunigen, vereinbaren Sie heute eine individuelle Demo.
Zusätzliche Ressourcen
- Leitfaden Ein detaillierter CMMC 2.0 Leitfaden für DoD-Unternehmer und Subunternehmer
- Artikel Was ist die Cybersecurity Maturity Model Certification?
- Blogbeitrag Was ist CMMC-Sicherheitscompliance?
- Video Was Kiteworks CISO Frank Balonis über CMMC 2.0 denkt
- Webinar Was Optiv und Kiteworks DoD-Unternehmern und Subunternehmern für CMMC 2.0 empfehlen