CMMC 2.0 Level 1: Alles, was Sie wissen müssen
Was ist CMMC?
Die Cybersecurity Maturity Model Certification (CMMC) soll den Schutz sensibler nationaler Sicherheitsinformationen wie kontrollierter nicht klassifizierter Informationen (CUI) und US-Bundesvertragsinformationen (Federal Contract Information, FCI) gewährleisten. Die Zertifizierung gilt für alle Auftragnehmer und Unterauftragnehmer des US-Verteidigungsministeriums (Department of Defense, DoD), und ein Auftragnehmer, der die Vorschriften nicht einhält, kann sich nicht um DoD-Aufträge bewerben. CMMC 2.0 ist eine Aktualisierung des CMMC 1.0, das ursprünglich im Januar 2021 veröffentlicht wurde. Die neue Version enthält Aktualisierungen für den Schutz von FCI und CUI.
Gemäß den DFARS und den DoD-Vorschriften und -Richtlinien hat das DoD im CMMC-Standard Cybersicherheitskontrollen zum Schutz von CUI und FCI implementiert. Der CMMC-Standard misst also die Fähigkeit einer Organisation FCI und CUI zu schützen. FCI sind Informationen, die nicht für die Öffentlichkeit bestimmt sind und die von der US-Regierung im Rahmen eines Vertrags zur Entwicklung oder Lieferung eines Produkts oder einer Dienstleistung für die Regierung bereitgestellt oder für sie erstellt werden. CUI sind Informationen, die gemäß US-Bundesgesetzen, Verordnungen und regierungsweiten Richtlinien geschützt oder verbreitet werden müssen.
CMMC 2.0 besteht aus drei verschiedenen Reifegraden (Maturity Levels). Unternehmen können zwischen den drei Reifegraden “Foundational”, “Advanced” und “Expert” wählen, um ihre Cybersicherheit besser beurteilen und verbessern zu können. Dieser Artikel befasst sich mit allem, was Sie über CMMC 2.0 Level 1, seine Kontrollen und Anforderungen wissen müssen.
Wodurch wird bestimmt, welches CMMC-Level ich benötige?
Die erforderliche CMMC-Zertifizierungsstufe richtet sich nach der Art der Informationen, mit denen ein Unternehmen umgeht, und nach der Art der von ihm durchgeführten Arbeiten. Das spezifische Zertifizierungsniveau wird in allen neuen DoD-Verträgen festgelegt. Ist ein Anbieter nicht auf dem geforderten Niveau zertifiziert, kann er sich nicht um den Auftrag des DoD bewerben.
Unternehmen, die einen Vertrag nach FAR 52.204-21 (eine Untergruppe der DFARS-Anforderungen) haben und nur mit FCI umgehen, müssen CMMC Level 1 erreichen. Für diese Stufe ist kein zertifizierter Third-Party Assessment Provider für die Zertifizierung erforderlich, sondern lediglich eine jährliche Selbstbewertung, die von einer Führungskraft des Unternehmens bescheinigt wird.
Was ist CMMC 2.0 Level 1?
Der Foundational Level ist die erste der drei Stufen und besteht aus grundlegenden Verfahren des Cyber-Security-Risk-Managements. Diese Stufe umfasst die grundlegendsten Maßnahmen zum Schutz vor Cyberbedrohungen und ist für die häufigsten Cyberbedrohungen gedacht. Sie konzentriert sich auf grundlegende Sicherheits- und Risikomanagementmaßnahmen wie Authentifizierung und Zugangskontrolle, d. h. die Möglichkeit zu kontrollieren, wer auf welche Informationen zugreifen kann.
Die Anforderungen dieser Stufe sind in 17 verschiedene Verfahren unterteilt, einschließlich, jedoch nicht beschränkt auf Asset Management, Medienschutz, Identifizierung und Authentifizierung, Sicherheitsbewertung und ‑autorisierung sowie System- und Kommunikationsschutz. Organisationen müssen nachweisen, dass alle geforderten Verfahren implementiert wurden und dass sie effektive Prozesse für das Management von Cybersicherheitsrisiken anwenden.
Wer braucht CMMC 2.0 Level 1
CMMC 2.0 Stufe 1 gilt für Auftragnehmer und Unterauftragnehmer des DoD, die mit FCI umgehen, die von der US-Regierung im Rahmen eines Vertrags zur Entwicklung oder Lieferung eines Produkts oder einer Dienstleistung für die Regierung bereitgestellt oder erzeugt werden.
Der Foundational Level verlangt von den Unternehmen, dass sie grundlegende Cybersicherheitsverfahren anwenden. Sie können die Zertifizierung durch eine jährliche Selbstbeurteilung erreichen. CMMC Third Party Assessor Organisationen (C3PAOs) sind nicht an der Zertifizierung der Stufe 1 beteiligt.
CMMC 2.0 Level 1 Bereiche und Kontrollen
CMMC Maturity Level 1 ist die erste und grundlegende Stufe der CMMC-Zertifizierung. Ihre Anforderungen bestehen aus grundlegenden Cybersicherheitsverfahren mit 17 Sicherheitskontrollen, die aus diesen sechs Bereichen stammen:
Bereich |
Anzahl der Kontrollen |
Zugriffskontrolle (AC) |
4 Kontrollen |
Identifizierung und Authentifizierung (IA) |
2 Kontrollen |
Medienschutz (MP) |
1 Kontrolle |
Physischer Schutz (PE) |
4 Kontrollen |
System- und Kommunikationsschutz (SC) |
2 Kontrollen |
System- und Informationsintegrität (SI) |
4 Kontrollen |
Zu den Kontrollen und Sicherheitsanforderungen in jedem Bereich gehören:
Zugriffskontrolle (Access Control, AC)
Der Bereich Zugriffskontrolle konzentriert sich auf die Nachverfolgung und das Verständnis, wer Zugang zu Ihren Systemen und Ihrem Netzwerk hat. Dazu gehören Benutzerprivilegien, Remote-Zugriff und interner Systemzugriff. Zu den spezifischen Kontrollen gehören:
- Beschränkung des Zugriffs auf Informationssysteme auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder Geräte (einschließlich anderer Informationssysteme)
- Beschränkung des Zugriffs auf Informationssysteme auf die Arten von Transaktionen und Funktionen, die von autorisierten Benutzern ausgeführt werden dürfen
- Überprüfung und Kontrolle/Begrenzung von Verbindungen zu externen Informationssystemen und deren Nutzung
- Kontrolle von Informationen, die in öffentlich zugänglichen Informationssystemen veröffentlicht oder verarbeitet werden
Identifizierung und Authentifizierung (IA)
Der Bereich Identifizierung und Authentifizierung konzentriert sich auf die Rollen innerhalb einer Organisation. Er wirkt mit dem Bereich der Zugriffskontrolle zusammen, indem er sicherstellt, dass der Zugang zu allen Systemen und Netzen für die Berichterstattung und die Rechenschaftspflicht nachvollziehbar ist. Die Kontrollen umfassen:
- Identifizierung von Benutzern des Informationssystems, von Prozessen, die im Namen von Benutzern handeln, oder von Geräten
- Authentifizierung (oder Überprüfung) der Identitäten dieser Benutzer, Prozesse oder Geräte als Voraussetzung für den Zugriff auf die Informationssysteme der Organisation
Medienschutz (MP)
Der Medienschutz konzentriert sich auf die Identifizierung, Verfolgung und laufende Wartung von Medien. Dazu gehören auch Richtlinien zum Schutz, zur Datenhygiene und zum akzeptablen Transport. Für diesen Bereich gibt es nur eine Anforderung:
- Desinfizieren oder vernichten Sie die Medien des Informationssystems, die Informationen über Bundesverträge enthalten, bevor Sie sie entsorgen oder zur Wiederverwendung freigeben.
Physischer Schutz (PE)
Viele Unternehmen führen ein Anmeldeverfahren ein, das die Identifizierung mit einem Kartenlesegerät und den Zugang zu bestimmten Bereichen ihres Standorts erfordert. Doch nicht jedes Unternehmen überwacht ihre Besucher während ihres gesamten Aufenthalts. Dieser Bereich hat die folgenden Anforderungen, die Unternehmen dabei helfen:
- Beschränkung des physischen Zugangs zu den Informationssystemen, der Ausrüstung und den jeweiligen Betriebsumgebungen des Unternehmens auf autorisierte Personen
- Begleitung von Besuchern und Überwachung der Besucheraktivitäten
- Führen von Prüfprotokollen für physische Zugangsgeräte
- Kontrolle und Verwaltung physischer Zugangsgeräte
System- und Kommunikationsschutz (SC)
Die Kommunikation zwischen Mitarbeitern muss sicher sein, damit kein böswilliger Akteur sensible Daten abhören und aufzeichnen kann. Der Bereich System- und Kommunikationsschutz konzentriert sich auf die Implementierung einer Grenzverteidigung auf der Kommunikationsebene eines Unternehmens. Zu den Anforderungen in diesem Bereich gehören:
- Überwachung, Kontrolle und Schutz der Kommunikation eines Unternehmens (d. h. der Informationen, die von den Informationssystemen des Unternehmens übertragen oder empfangen werden) an den externen Grenzen und den wichtigsten internen Grenzen der Informationssysteme
- Implementierung von Teilnetzwerken für öffentlich zugängliche Systemkomponenten, die physisch oder logisch von internen Netzen getrennt sind
System- und Informationsintegrität (SI)
Dieser Bereich konzentriert sich auf die laufende Wartung und Behandlung von Problemen in Informationssystemen. Es wird hervorgehoben, dass Unternehmen Anstrengungen unternehmen, um bösartigen Code zu identifizieren und ständige Schutzmaßnahmen für E-Mail und Systemüberwachung zu ergreifen. Die Anforderungen umfassen:
- Fehler im Informations- und Informationssystem rechtzeitig erkennen, melden und korrigieren
- Schutz vor bösartigem Code an geeigneten Stellen innerhalb der Informationssysteme des Unternehmens
- Aktualisierung der Schutzmechanismen gegen bösartigen Code, wenn neue Versionen verfügbar sind
- Durchführung regelmäßiger Scans des Informationssystems und Echtzeit-Scans von Dateien aus externen Quellen, wenn Dateien heruntergeladen, geöffnet oder ausgeführt werden
Häufig gestellte Fragen
Was ist CMMC 2.0?
CMMC 2.0 ist die neueste Version der Cybersecurity Maturity Model Certification. Dabei handelt es sich um eine umfassende Reihe von Verfahren und Standards, die vom US‑Verteidigungsministerium entwickelt wurden, um einen einheitlichen Ansatz für den Schutz von CUI zu schaffen. Das CMMC-Modell soll Unternehmen dabei helfen, ihre Cybersicherheitsrisiken zu bewerten und zu bewältigen sowie ihre allgemeine Sicherheit zu verbessern.
Was ist der Zweck von CMMC 2.0 Level 1?
Der Hauptzweck von CMMC 2.0 Level 1 besteht darin, sicherzustellen, dass Unternehmen über die grundlegenden Kontrollen verfügen, um CUI vor unbefugter Nutzung zu schützen. Level 1 definiert das Minimum an Cybersicherheitsverfahren, die Unternehmen zum Schutz von CUI einsetzen müssen, einschließlich Standards wie Identitätsmanagement, Asset Management und Zugriffskontrolle.
Was sind die Folgen der Nichteinhaltung von CMMC 2.0 Level 1?
Die Folgen der Nichteinhaltung von CMMC 2.0 Level 1 sind unterschiedlich. Die Nichteinhaltung der Mindeststandards kann einem Unternehmen potenziellen Schaden zufügen, da sensible Informationen durchsickern oder gestohlen werden könnten. Darüber hinaus können Unternehmen mit Sanktionen des US‑Verteidigungsministeriums oder anderer Aufsichtsbehörden konfrontiert werden, wenn sie gegen die Vorschriften verstoßen.
Wie kann ich CMMC 2.0 Level 1-Verfahren umsetzen?
Die Implementierung von CMMC 2.0 Level 1-Verfahren in einem Unternehmen kann auf verschiedenen Ebenen erfolgen und auf die Situation des Unternehmens zugeschnitten werden. Ein Ausgangspunkt ist die Erstellung einer Risikobewertung, auf deren Grundlage die Unternehmen die spezifischen Kontrollen und Verfahren ermitteln können, die zur Erfüllung der Standards erforderlich sind. Sie sollten auch ein Programm zur Überwachung und Berichterstattung über ihre Fortschritte aufstellen.
Was sind die Vorteile der Einhaltung von CMMC 2.0 Level 1?
Die Vorteile der Einhaltung von CMMC 2.0 Level 1 sind zahlreich. Erstens können Unternehmen die Integrität ihrer CUI schützen und sicher sein, dass diese vor unbefugter Nutzung geschützt sind. Darüber hinaus können Unternehmen durch solide Cybersicherheitsverfahren ihre Sorgfaltspflicht gegenüber Kunden und anderen Beteiligten nachweisen und kostspielige Datenschutzverletzungen verhindern. Schließlich kann die Einhaltung von CMMC 2.0 Level 1 Unternehmen dabei helfen, Audits zu bestehen und die geltenden Gesetze und Vorschriften einzuhalten.
Kiteworks Private Content Network ermöglicht die Einhaltung von CMMC 2.0 Level 1
Das Kiteworks Private Content Network (PCN) vereinfacht und unterstützt Unternehmen in der Defense Industrial Base (DIB) während des CMMC 2.0 Level 1 Compliance-Prozesses. Kiteworks vereinheitlicht, verfolgt, kontrolliert und schützt die gesamte Kommunikation mit sensiblen Inhalten auf einer Plattform. Außerdem ermöglicht es die Zusammenarbeit von Erst- und Drittparteien bei vertraulichen Inhalten. Kiteworks vereinfacht und beschleunigt den Prozess zur Erreichung der CMMC 2.0 Level 1 Compliance, indem es Zugriffskontrolle, sicheren Dateitransfer, Dateiverschlüsselung, sichere Dateifreigabe und Authentifizierung mit Zwei-Faktor-Authentifizierung und Multi-Faktor-Authentifizierung bietet. Unternehmen können granulare Berechtigungen und Richtlinien festlegen, um ein Höchstmaß an Sicherheit für ihre Daten und Inhalte zu gewährleisten.
Im Rahmen der CMMC 2.0 Level 1 Compliance hilft Kiteworks Unternehmen, einen digitalen Audit-Trail für ihre Kommunikation mit sensiblen Inhalten zu erstellen. So können sie die Kommunikation mit sensiblen Inhalten überwachen und die Einhaltung der Datenschutz- und Sicherheitsvorschriften, einschließlich CMMC 2.0 Level 1, nachweisen.
Wenn Sie mehr über das Kiteworks Private Content Network erfahren möchten und wie es Ihre Compliance mit CMMC 2.0 Level 1 beschleunigen kann, vereinbaren Sie noch heute einen Termin für eine maßgeschneiderte Demo.