Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > CMMC Compliance > Umfrage enthüllt den alarmierenden Zustand der Cybersicherheitsbereitschaft in der Verteidigungsindustrie
Umfrage enthüllt alarmierenden Zustand der Cybersicherheitsbereitschaft im DIB

Umfrage enthüllt den alarmierenden Zustand der Cybersicherheitsbereitschaft in der Verteidigungsindustrie

von Danielle Barbour updated Oktober 22, 2024 CMMC Compliance
Lesezeit: 6 Minuten

Das Verteidigungsministerium (DoD) und sein umfangreiches Netzwerk von Auftragnehmern bilden das Rückgrat der nationalen Sicherheit der USA. Ein aktueller Bericht von CyberSheath offenbart jedoch eine zutiefst besorgniserregende Realität: Die Mehrheit der Verteidigungsauftragnehmer ist erschreckend unvorbereitet auf die Anforderungen des Cybersecurity Maturity Model Certification (CMMC), wodurch kritische Infrastrukturen und vertrauliche Daten Cyberbedrohungen ausgesetzt sind.

Der CMMC-Zertifizierungsprozess ist mühsam, aber unser CMMC 2.0 Compliance-Fahrplan kann helfen.

CMMC 2.0 Compliance Fahrplan für DoD Auftragnehmer

Jetzt lesen

Die harte Realität der CMMC-Compliance

Die CyberSheath-Studie 2024, die ihren Umfang auf Auftragnehmer mit bis zu 1.000 Mitarbeitern erweitert hat, zeichnet ein düsteres Bild der Cybersicherheitsbereitschaft in der Verteidigungsindustrie (DIB):

  • Über 75% der Befragten behaupten, konform zu sein, basierend auf Selbsteinschätzung
  • Weniger als 40% arbeiten aktiv an einem System Security Plan (Systemsicherheitsplan), Plan of Action and Milestones (POA&M), erforderlichen Kontrollen und laufenden Compliance-Plänen
  • Nur 4% glauben, dass ihr Unternehmen vollständig bereit für die CMMC-Zertifizierung ist
  • Der durchschnittliche Supplier Performance Risk System (SPRS)-Score unter den Befragten liegt bei -12 von 110, weit unter dem von DFARS geforderten Minimum von 110

Diese Statistiken zeigen eine erhebliche Diskrepanz zwischen der Wahrnehmung der Auftragnehmer über ihre Cybersicherheitslage und der Realität ihrer Bereitschaft.

Wichtige Erkenntnisse

  1. Weitverbreitete Nichteinhaltung

    Trotz Selbsteinschätzungen, die eine hohe Konformität anzeigen, ist der tatsächliche Stand der CMMC-Bereitschaft unter den Verteidigungsauftragnehmern alarmierend niedrig.

  2. Kritische Infrastruktur in Gefahr

    89% der befragten Unternehmen sind in kritischen Infrastruktursektoren tätig, die vom DoD definiert wurden. Ihre mangelnde Cybersicherheitsbereitschaft stellt eine ernsthafte Bedrohung für die nationale Sicherheit, wirtschaftliche Stabilität und öffentliche Sicherheit dar.

  3. Geringe Nutzung wesentlicher Technologien

    Die Nutzungsraten für entscheidende Cybersicherheitslösungen wie Multi-Faktor-Authentifizierung (21%), Schwachstellenmanagement (20%) und Patch-Management (15%) sind erschreckend niedrig, was Auftragnehmer anfällig für Cyberangriffe macht.

  4. Unterschätzte Compliance-Kosten

    Das durchschnittlich gemeldete Jahresbudget für DFARS-Compliance ($41.220) ist völlig unzureichend. Zum Beispiel würde allein die Erfüllung der Anforderungen für 24/7-Netzwerküberwachung ein Unternehmen mit 30-50 Personen etwa $144.000 jährlich kosten.

  5. Dringender Handlungsbedarf

    Da nur 4% der Auftragnehmer sich vollständig bereit für die CMMC-Zertifizierung fühlen, besteht ein dringender Bedarf an erhöhter Sensibilisierung, Bildung, Investitionen in Cybersicherheitsinfrastruktur und möglicherweise strengeren regulatorischen Durchsetzungen, um die Cybersicherheitslage der DIB zu verbessern.

Warum so wenige Auftragnehmer vorbereitet sind

Mehrere Faktoren tragen zur mangelnden CMMC-Bereitschaft unter den Verteidigungsauftragnehmern bei:

1. CMMC-Anforderungen sind komplex und entwickeln sich weiter

Viele Auftragnehmer finden es schwierig, die CMMC-Anforderungen aufgrund ihrer Komplexität und dynamischen Natur zu verstehen und umzusetzen. Ungefähr 40% der Befragten bewerteten die DFARS-Berichterstattung mit 8 von 10 oder höher in Bezug auf die Schwierigkeit. Die sich ständig weiterentwickelnde Landschaft von Cyberbedrohungen und Vorschriften macht es Unternehmen schwer, Schritt zu halten.

2. CMMC-Compliance ist kostspielig

Über 50% der Auftragnehmer hoben erhebliche Kostenbelastungen aufgrund laufender Änderungen und notwendiger Tools und Lösungen hervor. Das durchschnittlich gemeldete Jahresbudget für die Erreichung und Aufrechterhaltung der DFARS-Compliance beträgt $41.220, jedoch ist dieser Betrag völlig unzureichend. Ein Unternehmen mit 30-50 Personen sollte beispielsweise damit rechnen, etwa $144.000 pro Jahr auszugeben, nur um die in den USA basierten Anforderungen für 24/7-Netzwerküberwachung zu erfüllen, die von DFARS festgelegt sind.

3. Verteidigungsauftragnehmer übernehmen keine Technologien, die für die CMMC-Compliance entscheidend sind

Die Studie zeigt alarmierend niedrige Nutzungsraten für wesentliche Cybersicherheitslösungen. Diese niedrigen Nutzungsraten deuten darauf hin, dass viele Auftragnehmer die grundlegende technologische Infrastruktur für eine robuste Cybersicherheit nicht besitzen. Beispiele für niedrige Nutzungsraten sind:

  • Data Loss Prevention (DLP): 33%
  • IT-Konfigurationsmanagementlösung: 30%
  • Security Information & Event Management (SIEM) Lösung: 30%
  • Multi-Faktor-Authentifizierung (MFA): 21%
  • Schwachstellenmanagementlösung (VM): 20%
  • Patch-Management-Lösungen: 15%

4. Verteidigungsauftragnehmer sind sich der CMMC nicht bewusst oder verstehen sie nicht

Trotz der kritischen Natur der CMMC-Compliance scheinen viele Auftragnehmer die Bedeutung der Vorschrift oder die potenziellen Konsequenzen der Nichteinhaltung nicht zu erkennen. Zum Beispiel waren nur 63% der Befragten über Audits des Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) informiert.

5. Verteidigungsauftragnehmer überschätzen die CMMC-Bereitschaft

Die Diskrepanz zwischen der Konformität durch Selbsteinschätzung (über 75%) und dem durchschnittlichen SPRS-Score (-12) deutet darauf hin, dass viele Auftragnehmer ihre Cybersicherheitsfähigkeiten überschätzen. Dieses Übermaß an Selbstvertrauen kann zu Selbstzufriedenheit und einem Versäumnis führen, kritische Schwachstellen zu beheben.

Warum mangelnde Vorbereitung auf die CMMC zutiefst besorgniserregend ist

Die Auswirkungen der weit verbreiteten CMMC-Nichteinhaltung in der DIB sind weitreichend und potenziell katastrophal:

1. Nichteinhaltung der CMMC birgt Risiken für die nationale Sicherheit

89% der in der Studie vertretenen Unternehmen sind in kritischen Infrastruktursektoren tätig, die vom DoD definiert wurden. Diese Sektoren gelten als lebenswichtig für die nationale Sicherheit, wirtschaftliche Stabilität und öffentliche Sicherheit. Unzureichende Cybersicherheitsmaßnahmen in diesen Bereichen könnten verheerende Folgen haben, wenn sie von Gegnern ausgenutzt werden.

2. Verteidigungsauftragnehmer, die nicht CMMC-konform sind, sind anfälliger für Cyberangriffe

Die niedrigen Nutzungsraten wesentlicher Cybersicherheitstechnologien machen Verteidigungsauftragnehmer hochgradig anfällig für Cyberangriffe. In einer Ära zunehmender Cyberbedrohungen durch Nationalstaaten stellt diese Verwundbarkeit ein erhebliches Risiko für vertrauliche Verteidigungsinformationen und -technologien dar.

3. Verteidigungsauftragnehmer, die nicht CMMC-konform sind, schwächen die Verteidigungslieferkette

Die DIB ist ein miteinander verbundenes Ökosystem. Schwächen in einem Teil der Lieferkette können das gesamte Netzwerk gefährden. Da viele Auftragnehmer die grundlegenden Cybersicherheitsstandards nicht erfüllen, ist die gesamte Verteidigungslieferkette gefährdet.

4. CMMC-Nichteinhaltung hat schwerwiegende wirtschaftliche Auswirkungen

Cybervorfälle können zu erheblichen finanziellen Verlusten führen. Die Studie zeigt, dass viele Auftragnehmer bereits Verluste aufgrund von Cybervorfällen erlitten haben. Eine fortgesetzte Nichteinhaltung könnte zu noch größeren wirtschaftlichen Schäden führen, sowohl für einzelne Unternehmen als auch für den Verteidigungssektor insgesamt.

5. Verteidigungsauftragnehmer, die nicht CMMC-konform sind, verlieren ihren Wettbewerbsvorteil und schwächen die DIB

Da die CMMC-Anforderungen strenger und durchgesetzt werden, riskieren nicht konforme Auftragnehmer, ihre Fähigkeit zu verlieren, um DoD-Verträge zu konkurrieren. Dies könnte zu einer Schrumpfung der DIB führen, was potenziell Innovation und Wettbewerb im Verteidigungssektor beeinträchtigt.

6. Nichteinhaltung der CMMC hat schwerwiegende rechtliche und regulatorische Konsequenzen

Mit zunehmendem Bewusstsein für das False Claims Act und potenziellen Strafen für ungenaue SPRS-Score-Berichterstattung stehen nicht konforme Auftragnehmer vor erheblichen rechtlichen und finanziellen Risiken.

Müssen Sie die CMMC einhalten? Hier ist Ihre vollständige CMMC-Compliance-Checkliste.

Wie Verteidigungsauftragnehmer ihre Cybersicherheitslage vor der CMMC-Compliance verbessern können

Basierend auf den Ergebnissen des Berichts sind hier einige wichtige Möglichkeiten, wie Verteidigungsauftragnehmer ihre Cybersicherheitslage verbessern können:

  1. Erhöhen Sie die Investitionen in wesentliche Cybersicherheitstechnologien. Der Bericht zeigt alarmierend niedrige Nutzungsraten für entscheidende Lösungen wie: Multi-Faktor-Authentifizierung (21% Nutzung), Schwachstellenmanagement (20% Nutzung) und Patch-Management (15% Nutzung). Die Priorisierung der Implementierung dieser grundlegenden Sicherheitskontrollen würde die Cybersicherheit erheblich verbessern.
  2. Weisen Sie mehr Budget für die Compliance zu. Das durchschnittlich gemeldete Jahresbudget von $41.220 ist völlig unzureichend. Zum Beispiel würde allein die Erfüllung der Anforderungen für 24/7-Netzwerküberwachung ein Unternehmen mit 30-50 Personen etwa $144.000 jährlich kosten. Auftragnehmer müssen die Ausgaben für Cybersicherheit erhöhen, um die CMMC-Anforderungen zu erfüllen.
  3. Verbessern Sie die Genauigkeit der Selbsteinschätzungen. Es gibt eine große Diskrepanz zwischen der selbstbewerteten Konformität (über 75%) und der tatsächlichen Bereitschaft (durchschnittlicher SPRS-Score von -12 von 110). Auftragnehmer sollten rigorosere Selbstevaluierungen durchführen, um Lücken zu identifizieren, oder die Expertise zertifizierter Drittanbieter-Bewertungsorganisationen (C3PAOs) in Anspruch nehmen.
  4. Entwickeln Sie umfassende System Security Plans (SSPs) und Plans of Action and Milestones (POAMs). Weniger als 40% arbeiten aktiv an diesen erforderlichen Elementen.
  5. Erhöhen Sie das Bewusstsein und das Verständnis der CMMC-Anforderungen. Etwa 40% bewerteten die DFARS-Berichterstattung als sehr schwierig (8/10 oder höher). Bildungs- und Schulungsprogramme könnten helfen, diese Wissenslücke zu schließen.
  6. Nutzen Sie die Expertise von Drittanbietern. Angesichts der Komplexität könnten viele Auftragnehmer von der Zusammenarbeit mit erfahrenen Cybersicherheitsfirmen oder Managed Security Service Providern (MSSPs) profitieren, um die Compliance zu erreichen.
  7. Implementieren Sie kontinuierliche Überwachungs- und Verbesserungsprozesse. Cybersicherheit ist kein einmaliger Aufwand, sondern erfordert ständige Wachsamkeit, um sich entwickelnde Bedrohungen zu adressieren.

Indem sie sich auf diese Bereiche konzentrieren, können Verteidigungsauftragnehmer erhebliche Fortschritte bei der Verbesserung ihrer Cybersicherheitslage und der Annäherung an die CMMC-Compliance machen.

Kiteworks hilft Verteidigungsauftragnehmern, die CMMC-Compliance mit einem FedRAMP-zertifizierten Private Content Network nachzuweisen

Der CyberSheath-Bericht dient als deutlicher Weckruf für die Verteidigungsindustrie. Der weit verbreitete Mangel an CMMC-Bereitschaft unter den Verteidigungsauftragnehmern stellt eine ernsthafte Bedrohung für die nationale Sicherheit, wirtschaftliche Stabilität und die Integrität der Verteidigungslieferkette dar. Dringende Maßnahmen sind von allen Beteiligten erforderlich – Auftragnehmern, dem DoD und Cybersicherheitsanbietern –, um diese kritischen Schwachstellen zu adressieren und die Cybersicherheitslage der gesamten Verteidigungsindustrie zu stärken.

Da sich Cyberbedrohungen weiterentwickeln und intensivieren, überwiegen die Kosten der Untätigkeit bei weitem die Investitionen, die für robuste Cybersicherheitsmaßnahmen erforderlich sind. Die zukünftige Sicherheit der Nation hängt von der Fähigkeit der DIB ab, sich dieser Herausforderung zu stellen und ein widerstandsfähiges, CMMC-konformes Ökosystem zu schaffen, das kritische Verteidigungsinformationen und -infrastrukturen effektiv schützen kann.

Das Kiteworks Private Content Network, eine FIPS 140-2 Level validierte sichere Filesharing- und Dateitransferplattform, konsolidiert E-Mail, Filesharing, Web-Formulare, SFTP, Managed File Transfer und nächste Generation des digitalen Rechtemanagements, sodass Organisationen jede Datei kontrollieren, schützen und verfolgen können, die in das Unternehmen ein- und ausgeht.

Kiteworks unterstützt fast 90% der CMMC 2.0 Level 2 Anforderungen out of the box. Dadurch können DoD-Auftragnehmer und -Subunternehmer ihren CMMC 2.0 Level 2 Akkreditierungsprozess beschleunigen, indem sie sicherstellen, dass sie die richtige Plattform für die Kommunikation sensibler Inhalte haben.

Mit Kiteworks vereinen DoD-Auftragnehmer und -Subunternehmer ihre Kommunikation sensibler Inhalte in einem dedizierten Private Content Network, das automatisierte Richtlinienkontrollen und Nachverfolgungs- sowie Cybersicherheitsprotokolle nutzt, die mit den CMMC 2.0-Praktiken übereinstimmen.

Kiteworks ermöglicht eine schnelle CMMC 2.0-Compliance mit Kernfunktionen und -merkmalen, einschließlich:

  • Zertifizierung mit wichtigen US-amerikanischen Compliance-Standards und -Anforderungen, einschließlich SSAE-16/SOC 2, NIST SP 800-171 und NIST SP 800-172
  • FIPS 140-2 Level 1 Validierung
  • FedRAMP-zertifiziert für Moderate Impact Level CUI
  • AES 256-Bit-Verschlüsselung für Daten im ruhenden Zustand, TLS 1.2 für Daten während der Übertragung und alleiniger Besitz des Verschlüsselungsschlüssels

Kiteworks Bereitstellungsoptionen umfassen On-Premises, gehostet, privat, hybrid und FedRAMP Virtual Private Cloud. Mit Kiteworks: kontrollieren Sie den Zugriff auf vertrauliche Inhalte; schützen Sie diese, wenn sie extern geteilt werden, mit automatisierter Ende-zu-Ende-Verschlüsselung, Multi-Faktor-Authentifizierung und Sicherheitsinfrastruktur-Integrationen; sehen, verfolgen und berichten Sie über alle Dateibewegungen, nämlich wer was an wen, wann und wie sendet. Schließlich weisen Sie die Einhaltung von Vorschriften und Standards wie DSGVO, HIPAA, CMMC, Cyber Essentials Plus, IRAP und vielen mehr nach.

Um mehr über Kiteworks zu erfahren, vereinbaren Sie noch heute eine individuelle Demo.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks