CMMC 2.0 Level 3 Compliance: Ein umfassender Leitfaden
Die Compliance mit der Cybersecurity Maturity Model Certification (CMMC) 2.0 ist für jeden Auftragnehmer oder Lieferanten des US-Verteidigungsministeriums (DoD), der Zugang zu kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) hat, unerlässlich. Die Konformität mit CMMC 2.0 ermöglicht es Auftragnehmern aus der Privatwirtschaft, den höchstmöglichen Grad an Cybersicherheit nachzuweisen und weiterhin mit dem DoD Geschäfte zu machen. CMMC 2.0 Level 3, auch Expert genannt, konzentriert sich auf die Effektivität von Cybersicherheitskontrollen und -verfahren zum Schutz von CUI vor Advanced Persistent Threats (APTs). Es ersetzt das bisherige CMMC 1.0 Level 5 und bringt eine Reihe wichtiger Änderungen mit sich. CMMC 2.0 Level 3 gilt für Unternehmen, die CUI für DoD-Programme der höchsten Priorität bearbeiten.
Für alle Auftragnehmer oder Unternehmen, die Zugang zu CUI haben, ist die Compliance mit CMMC 2.0 Level 3 unerlässlich, um das höchstmögliche Maß an Cybersicherheit zu gewährleisten. Dieser Artikel bietet einen umfassenden Überblick über die Anforderungen hinsichtlich der CMMC 2.0 Level 3 Compliance und hilft Ihnen sicherzustellen, dass Ihre Organisation die neuesten Sicherheitsvorschriften einhält.
CMMC Level 3 Compliance: Betriebliche Vorteile
Der Hauptvorteil der Umsetzung der CMMC Level 3-Anforderungen besteht darin, dass das US-Verteidigungsministerium die Gewissheit erhält, dass die von den Auftragnehmern verarbeiteten, erfassten, gesendeten, empfangenen und gespeicherten CUI sicher und vor unbefugtem Zugriff geschützt sind. Letztendlich schafft die Umsetzung der CMMC Level 3-Anforderungen Vertrauen in die Fähigkeit eines Unternehmens, CUI zu schützen und sein Engagement für Cybersicherheit zu belegen. Die Erfüllung der Anforderungen gemäß CMMC Level 3 kann einem Unternehmen auch einen besseren Zugang zu Aufträgen der Regierung verschaffen und es zu einem attraktiveren potenziellen Partner für Unternehmen der Verteidigungsindustrie und für potenzielle Kunden aus dem privaten Sektor machen.
Ist die Compliance mit CMMC 2.0 Level 3 obligatorisch?
Nein, die Einhaltung der CMMC 2.0 Level 3 ist nicht verpflichtend. Für Unternehmen, die mit dem DoD zusammenarbeiten, gilt ein Mindestmaß an Sicherheit, wie es in den Anforderungen der CMMC festgelegt ist. Die erforderliche Zertifizierungsstufe hängt jedoch von den Dienstleistungen ab, die das jeweilige Unternehmen erbringen soll. Unternehmen können verschiedene CMMC-Zertifizierungsstufen erreichen, nämlich Level 1, 2 oder 3, je nach den Sicherheitsanforderungen ihrer Verträge.
CMMC Level 3 Bereiche und Anforderungen
Für CMMC 2.0 Level 3 sind 130 Kontrollen erforderlich. Diese Kontrollen dienen dem Risikomanagement und umfassen Richtlinien, Verfahren, Leitlinien, Vorgehensweisen oder Organisationsstrukturen, die administrativer, technischer, verwaltungstechnischer oder rechtlicher Natur sein können und in NIST SP 800-171 und FAR 52.204-21 spezifiziert sind. CMMC 2.0 Level 3 enthält außerdem 58 Verfahren oder technische Maßnahmen, die erforderlich sind und durchgeführt werden, um einen bestimmten Grad an Cybersicherheitsreife für eine bestimmte Fähigkeit in einem bestimmten Bereich zu erreichen. Diese Verfahren gehören zu 16 verschiedenen Kompetenzbereichen, die unten aufgeführt sind und eine Untermenge von NIST SP 800-172 darstellen. CMMC 2.0 verlangt vom Auftragnehmer, dass er über die bloße Dokumentation der Prozesse hinausgeht und stattdessen eine aktive Rolle bei der Verwaltung und Umsetzung der Kontrollen übernimmt, um ein höchstmögliches Maß an Sicherheit zu gewährleisten. Die 16 Kompetenzbereiche umfassen:
Zugangskontrolle
Der Bereich Zugangskontrolle führt acht zusätzliche Anforderungen unter CMMC Level 3 ein. Sie umfassen:
- Authentifizierungs- und Verschlüsselungsmaßnahmen zum Schutz des Wireless-Zugangs
- Kryptographie zum Datenschutz während Remote-Sessions
- Automatische Beendigung von Benutzer-Sessions, die definierte Bedingungen erfüllen
- Überwachung und Kontrolle aller Zugriffe über mobile Geräte
- Erforderliche Autorisierung für die Remote-Ausführung von Funktionen und den Zugriff auf sicherheitsrelevante Informationen
- Trennung der Aufgaben einzelner Personen, um das Risiko schädlicher Handlungen zu verringern. Diese Handlungen grenzen sich von Absprachen ab, die keine Identifizierung spezifischer Bedrohungen erfordern
- Verhinderung der Ausführung privilegierter Funktionen von nicht-privilegierten Konten aus. Audit-Logs müssen alle privilegierten Funktionen dokumentieren und analysieren
- Verschlüsselung der CUI auf allen Rechnerplattformen
Asset-Management
Der Bereich Asset-Management ist ein neuer Bereich mit folgender Funktion:
- Festlegung spezifischer Verfahren und Methoden für den Umgang mit CUI und damit in Verbindung stehenden Daten
Audit und Nachweispflicht
Der Bereich Audit und Nachweispflicht führt sieben zusätzliche Anforderungen unter CMMC 2.0 Level 3 ein, darunter:
- Regelmäßige Überprüfung aller protokollierten Ereignisse und Aktualisierung oder Korrektur, wenn nötig
- Schutz von Informationen, die sich auf Audits und Audit-Logs beziehen, vor allen Formen des unbefugten Zugriffs, einschließlich insbesondere der Verwendung, Änderung und Löschung derselben
- Beschränkung des Zugriffs auf Audit-Funktionen auf eine Untergruppe privilegierter Benutzer
- Korrelieren der Überprüfung und Analyse von Audit-Protokollen mit der Berichterstattung über die Untersuchung und Reaktion auf illegale, nicht genehmigte oder anderweitig regelwidrige Aktivitäten
- Benachrichtigung für den Fall, dass der Audit- und/oder Protokollierungsprozess fehlschlägt
- Erfassen aller Audit-Informationen in einem oder mehreren zentralen Datenspeichern, um die Überprüfung, Analyse und strategische Entscheidungsfindung in Bezug auf Audit-Informationen zu erleichtern
- Unterstützung sofortiger, bedarfsorientierter Analysen und Berichte mit effizienten Verfahren zur Reduzierung von Audit-Aufzeichnungen und zur Erstellung von Audit-Berichten
Sensibilisierung und Schulung
In CMMC 2.0 Level 3 wurde nur ein Verfahren im Bereich Sensibilisierung und Schulung eingeführt:
- Durchführung von Schulungen zur Sensibilisierung für Sicherheitsfragen, einschließlich Best Practices für die Überwachung, Erkennung und Meldung von Insiderbedrohungen durch andere Mitarbeiter
Konfigurationsmanagement
Im Bereich des Konfigurationsmanagements führt CMMC 2.0 Level 3 drei zusätzliche Verfahren ein:
- Definition, Dokumentation und Genehmigung des Zugriffs auf alle physischen und virtuellen Systeme. Der Systemzugang muss auf der aktuellen Sicherheitskonfiguration basieren
- Minimierung des Zugangs durch Beschränkung, Deaktivierung und präventive Maßnahmen. Diese Systeme umfassen Hardware, Software, Funktionen und Dienstleistungen
- Verweigerung des Zugriffs mit Ausnahmen, auch Blacklisting genannt, um unberechtigten Zugriff zu verhindern. Erlauben des Zugriffs mit Ausnahmen, auch bekannt als Whitelisting
Identifizierung und Authentifizierung
Es gibt vier zusätzliche Anforderungen im Bereich Identifizierung und Authentifizierung unter CMMC 2.0 Level 3:
- Multi-Faktor-Authentifizierung (MFA) für den lokalen und Netzwerkzugriff auf privilegierte Konten. Netzwerkzugriff auf nicht privilegierte Konten erfordert ebenfalls MFA
- Verhinderung der Wiederverwendung von Zugangsdaten, wie z. B. Benutzernamen, durch denselben Benutzer oder andere für einen bestimmten Zeitraum nach Änderungen am Konto, einschließlich der Auflösung des Kontos
- Verwendung von Authentifizierungsmechanismen für den Zugriff auf privilegierte und nicht privilegierte Konten, die “Abhör- und Wiederholungssicherheit” bieten. Dazu gehören Kryptographie, Einmal-Authentifikatoren und Transport Level Security (TLS)
- Deaktivierung der Zugangsdaten nach einem vom Unternehmen festgelegten Zeitraum der Inaktivität des Kontos. Diese Maßnahme muss auch die Wiederverwendung gemäß IA.3.085 verhindern
Reaktion auf Zwischenfälle
Im Bereich Reaktion auf Zwischenfälle führt CMMC 2.0 Level 3 zwei zusätzliche Verfahren ein:
- Sicherstellung, dass alle Vorfälle nachverfolgt, dokumentiert und an alle zuständigen Behörden gemeldet werden, unabhängig davon, ob es sich um unternehmensinterne oder -externe Stellen handelt
- Regelmäßige Überprüfung der Fähigkeit des Unternehmens, auf Zwischenfälle zu reagieren
Instandhaltung
Der Bereich Instandhaltung hat zwei zusätzliche Anforderungen unter CMMC 2.0 Level 3:
- Bereinigung von Geräten, die zur Wartung an einen anderen Ort transportiert werden, durch Entfernen aller CUI, einschließlich Spuren und anderer potenzieller Wege für den unbefugten Zugriff auf CUI
- Überwachen aller Medien, die Diagnose- oder Testprogramme enthalten, um sicherzustellen, dass sie frei von allen Formen von Schadcode sind, bevor sie auf Unternehmenssystemen installiert oder verwendet werden
Schutz von Medien
Unter CMMC 2.0 Level 3 gibt es vier Ergänzungen zum Schutz von Medien:
- Kennzeichnung oder Codierung von Medien mit CUI, die für eine beschränkte Verteilung bestimmt sind
- Verbot der Verwendung tragbarer Speichermedien, deren Eigentümer oder Herkunft unklar ist
- Verwendung von Kryptographie oder physischen Sicherheitsmaßnahmen, um die Vertraulichkeit der auf digitalen Datenträgern gespeicherten CUI, insbesondere während des Transports, zu gewährleisten
- Der Zugang zu Medien, die CUI enthalten, ist zu beschränken. Die Verantwortung für diese Datenträger muss auch während des Transports in Bereichen, die nicht unter der Kontrolle des jeweiligen Unternehmens stehen, gewahrt bleiben
Physischer Schutz
CMMC 2.0 Level 3 sieht ein Verfahren im Bereich des physischen Schutzes vor:
- Ausweitung der physischen Sicherheitsmaßnahmen für CUI auf alle alternativen Arbeitsstätten
Recovery
Der Bereich Recovery (Wiederherstellung) hat ein Verfahren unter CMMC 2.0 Level 3:
- Regelmäßige Durchführung robuster und widerstandsfähiger Datensicherungen gemäß den Protokollen und Zeitplänen, die durch die Sicherheitsanforderungen des Unternehmens und die Speichermedien definiert sind
Risikomanagement
Unter CMMC 2.0 Level 3 gibt es drei Ergänzungen zum Risikomanagement:
- Durchführen regelmäßiger Risikobewertungen, in denen Risiken nach den vom Unternehmen festgelegten Kriterien, einschließlich Kategorien und Quellen, identifiziert und priorisiert werden
- Entwicklung und Umsetzung von Plänen zur Minderung dieser Risiken, sobald diese festgestellt werden
- Separate Verwaltung von Produkten, die vom Hersteller nicht unterstützt werden. Implementieren von Zugriffsbeschränkungen für diese Produkte und unabhängige Verwendung derselben von anderen Assets, um die Verbreitung von Malware zu reduzieren
Sicherheitsbewertung
Unter CMMC 2.0 Level 3 gibt es zwei Ergänzungen zur Sicherheitsbewertung:
- Überwachung der bestehenden Sicherheitskontrollen, um ihre Wirksamkeit und Sicherheit zu gewährleisten
- Für intern entwickelte Software, die als risikobehaftet identifiziert wurde, sollten unabhängige Sicherheitsbewertungen durchgeführt werden
Situationsbewusstsein
Der Bereich Situationsbewusstsein wird unter CMMC 2.0 Level 3 eingeführt und beinhaltet eine Maßnahme:
- Sammeln, Analysieren und Weiterleiten relevanter Informationen über Cyberbedrohungen aus externen Quellen, einschließlich seriöser Berichte und Foren, an alle zuständigen Stellen
System und Kommunikation
Die zusätzlichen Anforderungen unter CMMC 2.0 Level 3 für den Bereich System und Kommunikation umfassen:
- Zum Schutz der CUI ist eine Kryptographie zu verwenden, die den Federal Information Processing Standards (FIPS) entspricht
- Sicherstellen, dass die Effektivität und Effizienz der Informationssicherheit in Bezug auf alle Elemente des Informationssystems optimiert wird.
- Vollständige Trennung von Benutzerzugang und Systemverwaltung
- Verhinderung unsicherer Übertragungen sensibler Informationen mit gemeinsam genutzten internen und externen Systemressourcen, einschließlich unbeabsichtigter und unbefugter Übertragungen
- Implementierung eines Whitelisting-Ansatzes für den Netzwerkverkehr, d. h. dieser Verkehr wird standardmäßig abgelehnt und nur in Ausnahmefällen zugelassen
- Beenden von Netzwerkverbindungen im Zusammenhang mit der Kommunikation sofort nach dem Ende einer Sitzung oder nach einer vom Unternehmen festgelegten Zeit der Inaktivität
- Verwaltung der kryptographischen Schlüssel für die gesamte Kryptographie, die in allen Systemen verwendet wird
- Strenge Überwachung und Kontrolle der Verwendung mobiler Codes
- Strenge Überwachung der Nutzung der Voice over Internet Protocol (VoIP)-Technologie
- Verhinderung des potenziell gefährlichen “Split-Tunneling”, bei dem Remote-Geräte gleichzeitig eine Non-Remote-Verbindung zu Unternehmenssystemen und eine Verbindung zu Ressourcen in externen Netzwerken herstellen
- Einsatz von Kryptographie oder physischen Sicherheitsmaßnahmen zum Schutz vor unbefugter Offenlegung von CUI, insbesondere während der Übertragung oder des Transports
- Sicherstellung der Authentizität der Kommunikation über Sitzungen hinweg
- Sicherstellung des Schutzes der CUI während der Speicherung oder anderer passiver Maßnahmen
- Verwendung robuster DNS-Filterdienste (Domain Name System)
- Entwicklung und Umsetzung einer Richtlinie zur Beschränkung der Veröffentlichung von CUI in externen, öffentlich zugänglichen Medien und Plattformen wie Foren und sozialen Medien
Integrität der Systeme und Informationen
Dies ist ein Bereich, der unter CMMC 2.0 Level 3 eingeführt wurde und drei Verfahren umfasst:
- Einsatz von Mechanismen zur Spam-Erkennung und -Abwehr an allen Eingangs-, Ausgangs- und Zugangspunkten zu den Informationssystemen des Unternehmens
- Einsatz aller verfügbaren Ressourcen, um Dokumentenfälschungen zu erkennen und zu verhindern
- Implementierung von Sandboxing-Techniken, um bösartige und verdächtige E-Mail-Kommunikation zu erkennen, zu filtern, zu blockieren oder anderweitig zu verhindern
CMMC Level 3 Compliance-Herausforderungen
Zu den häufigen Herausforderungen bei der Umsetzung der CMMC Level 3-Anforderungen gehören ein unzureichendes Verständnis der Sicherheitsprozesse, Schwierigkeiten bei der Bewertung spezifischer Sicherheitskontrollen, Schwierigkeiten bei der Implementierung technischer Kontrollen und Schwierigkeiten bei der Rekrutierung oder Schulung von Personal in den erforderlichen Bereichen. Darüber hinaus kann es für Unternehmen schwierig sein, Richtlinien, Verfahren und Prozesse zu entwickeln, die den Anforderungen der CMMC Level 3 entsprechen, und sicherzustellen, dass alle Beteiligten ihre Rollen und Verantwortlichkeiten bei der Gewährleistung der Sicherheit des Unternehmens verstehen.
Bewältigung der Herausforderungen der CMMC 2.0 Level 3
Unternehmen können die Herausforderungen, die mit der Umsetzung der CMMC Level 3-Anforderungen verbunden sind, bewältigen, indem sie einen umfassenden Sicherheitsplan entwickeln, in Sicherheitsschulungen und -trainings für Mitarbeiter investieren, externe Ressourcen nutzen, automatisierte Lösungen und/oder Outsourcing-Dienstleister einsetzen, die bei der Umsetzung helfen, und alle Beteiligten auf dem Laufenden halten. Darüber hinaus sollten Unternehmen die Sicherheitslage innerhalb der Organisation regelmäßig überwachen, um die Einhaltung der Vorschriften zu gewährleisten und Bereiche zu identifizieren, die zusätzliche Aufmerksamkeit erfordern. Unternehmen sollten auch einen proaktiven Sicherheitsansatz verfolgen und der Reaktion auf Bedrohungen und Schwachstellen, die während des Sicherheitsbewertungsprozesses identifiziert wurden, Priorität einräumen.
Risiken bei Verstößen gegen CMMC 2.0 Level 3
Wenn ein Unternehmen die CMMC 2.0 Level 3 Anforderungen nicht erfüllt, kann dies zum Verlust des Zugangs zu Regierungsverträgen führen und das Unternehmen kann mit Strafen und Geldbußen belegt werden. Darüber hinaus kann die Nichteinhaltung der Anforderungen zu einem Imageschaden und einem Vertrauensverlust in die Fähigkeit des Unternehmens, CUI und andere sensible Inhalte zu schützen, führen.
Kiteworks beschleunigt die CMMC 2.0 Compliance für DoD-Zulieferer
Das Kiteworks Private Content Network ist FedRAMP Authorized for Moderate Level Impact. Das Kiteworks Private Content Network (PCN) hilft DoD Auftragnehmern und Subunternehmern die Einhaltung der CMMC 2.0 Anforderungen nachzuweisen. Tatsächlich erfüllt Kiteworks fast 90 % der Anforderungen des CMMC Level 2-Prozesses. Andere Compliance-Anbieter ohne FedRAMP Authorized-Zertifizierung sind nicht in der Lage, diesen Grad an Compliance zu erreichen. Kiteworks beschleunigt somit die Zeit, die DoD-Lieferanten benötigen, um CMMC Level 2 zu erreichen.
Mithilfe eines inhaltsdefinierten Zero-Trust-Ansatzes, der von einer FedRAMP-autorisierten Plattform mit einer gehärteten virtuellen Appliance unterstützt wird, schützt Kiteworks sensible Kommunikation mit CUI- und FCI-Inhalten über zahlreiche Kanäle hinweg – einschließlich E-Mail, File-Sharing, Managed File Transfer, Webformulare und Application Programming Interfaces (APIs).
Vereinbaren Sie noch heute einen Termin für eine individuelle Demo, um zu sehen, wie das Kiteworks Private Content Network es DoD-Auftragnehmern und -Subunternehmern ermöglicht, ihren CMMC-Zertifizierungsprozess zu beschleunigen und zu vereinfachen.