Öffentlicher Sektor 
Da Bundesbehörden mit immer ausgereifteren Cyber-Bedrohungen konfrontiert sind, hat der Schutz kritischer Systeme und vertraulicher, nicht klassifizierter Daten höchste Priorität. Um diesen Bedarf zu decken, hat
Das US-Verteidigungsministerium (Department of Defense, DoD) führte Anfang 2020 sein Programm Cybersecurity Maturity Model Certification (CMMC) ein, um die Cybersicherheit in der gesamten Verteidigungsindustrie (Defense Industrial Base, DIB) zu stärken und sicherzustellen, dass Auftragnehmer, die mit kontrollierten, nicht klassifizierten Informationen (CUI) umgehen, die strengen Cybersicherheitsstandards des National Institute of Standards and Technology (NIST) erfüllen.
Am 10. November 2025 trat die endgültige Übernahmevorschrift des Verteidigungsministeriums für das CMMC-Programm offiziell in Kraft, was bedeutet, dass Verträge des Verteidigungsministeriums künftig obligatorische CMMC-Anforderungen enthalten werden, die in den nächsten Jahren schrittweise eingeführt werden.
CMMC umfasst drei Stufen, wobei die Anforderungen je nach Stufe variieren. CMMC Level 1 umfasst 15 Kontrollen und ist für Verträge erforderlich, die nur Informationen aus Bundesverträgen (FCI) enthalten, jedoch keine CUI. Der Auftragnehmer muss eine Selbsteinschätzung vornehmen; eine Bewertung durch Dritte ist nicht erforderlich. CMMC Level 2 umfasst 110 Kontrollen und entspricht den Kontrollen der NIST SP 800-171. Es ist für Verträge mit CUI erforderlich. Viele Verträge erfordern eine CMMC-Zertifizierung gemäß Level 2, die durch eine Bewertung durch eine unabhängige CMMC-Bewertungsorganisation (Third-Party Assessor Organization, C3PAO) erfolgt. Schließlich erfordert CMMC Level 3 24 zusätzliche erweiterte Sicherheitskontrollen, und alle Verträge erfordern eine Bewertung durch Dritte.
Der neue CMMC-Zeitplan
Das DoD plant die Einführung von CMMC in den nächsten Jahren. Hier erfahren Sie, was die einzelnen Phasen für Auftragnehmer bedeuten, die mit CUI arbeiten, sowie den aktuellen Zeitplan:
- Phase 1 hat bereits begonnen, und Auftragnehmer, die mit CUI umgehen, müssen selbst einschätzen, ob sie die Anforderungen gemäß CMMC Level 2 zur Qualifizierung für Verträge mit dem DoD erfüllen. Das DoD kann in einigen Fällen auch Audits durch Dritte für Level 2 verlangen.
- Phase 2 beginnt im November 2026, und Verträge gemäß Level 2 erfordern eine Zertifizierung durch Dritte und nicht nur eine Selbsteinschätzung.
- Phase 3 beginnt im November 2027, und für alle neuen Verträge sind CMMC-Level-3-Zertifizierungen durch Dritte erforderlich, sofern es nicht zu Verzögerungen kommt. Das DoD kann die CMMC-Anforderungen gemäß Level 3 für bestimmte Verträge auf Optionszeiträume verschieben.
- Phase 4 ist die letzte Phase und beginnt im November 2028. Die CMMC-Anforderungen gelten für alle entsprechenden Verträge.
Was das nun für Auftragnehmer bedeutet
Wenn Ihr Unternehmen mit CUI oder FCI umgeht, werden künftige Ausschreibungen CMMC-Anforderungen enthalten. Zur Vorbereitung sollten Sie sich auf diese Schritte konzentrieren:
- Überprüfen Sie die Cloud-Compliance: CMMC erfordert FedRAMP Moderate (oder ein Äquivalent) für jeden Cloud-Dienst, der CUI speichert oder verarbeitet. Unternehmen, die Cloud-Dienstleister nutzen, sollten jeden ihrer Cloud-Dienstleistungsverträge prüfen und sicherstellen, dass der Anbieter über eine FedRAMP Moderate-Zertifizierung verfügt.
- Legen Sie Ihre CUI-Umgebung fest: Erfassen Sie, wo sich CUI befindet, und identifizieren Sie die Systeme, Netzwerke, Anwendungen und Benutzer, die damit interagieren.
- Überprüfen Sie alle 110 Kontrollen gemäß Level 2: Identifizieren Sie Lücken, erfassen Sie, welche Kategorien zusätzliche Unterstützung benötigen, und priorisieren Sie Abhilfemaßnahmen. Zu den Level-2-Kategorien gehören unter anderem Zugriffskontrolle (AC), Sensibilisierung und Schulung, Audit und Rechenschaftspflicht (AU) sowie Konfigurationsmanagement (CM).
- Dokumentieren Sie alles: Führen Sie klare Datensätze über Zugriffsrichtlinien, Audits und Konfigurationen. Unabhängig davon, ob Sie eine Selbsteinschätzung vornehmen oder sich auf eine Bewertung durch Dritte vorbereiten, können Sie durch eine klare Dokumentation den Zeitaufwand für die vollständige CMMC-Konformität reduzieren.
Warum Privileged Access Management wichtig ist und wie Keeper dabei helfen kann
PAM-Lösungen (Privileged Access Management) verwalten und sichern Konten, die Zugriff auf hochsensible Systeme und Daten haben, wodurch das Risiko von Cyberangriffen verringert wird. Eine PAM-Lösung kann Unternehmen bei der Erfüllung vieler CMMC-Kontrollen unterstützen, insbesondere in den Bereichen Zugriffskontrolle (AC), Identifizierung und Authentifizierung (IA) sowie System- und Kommunikationsschutz (SC).
Ein typisches Sicherheitsteam hat heutzutage oft keinen vollständigen Überblick über die Stärke der Passwortsicherheit des Unternehmens. Keeper Security Government Cloud (KSGC) schließt diese Lücke, indem es Transparenz über die Wiederverwendung von Passwörtern und kompromittierte Zugangsdaten schafft und Unternehmen die Möglichkeit zur Festlegung und Überwachung von Passwortrichtlinien bietet. KSGC überwacht und warnt die Administratoren auch vor Schwachstellen und ermöglicht so ein proaktives Risikomanagement, bevor es zu Cybervorfällen kommt.
KSGC ist FedRAMP High-autorisiert, was es zu einer guten Wahl für DoD-Auftragnehmer macht, die vertrauliche Informationen schützen müssen. Keeper unterstützt Unternehmen bei der Einhaltung dieser sich entwickelnden CMMC-Kontrollen, indem es wichtige Anforderungen an die Passwortsicherheit und das Zugriffsmanagement erfüllt und den Aufwand für den Nachweis der Einhaltung der CMMC-Kontrollen reduziert.
Um Unternehmen besser zu vermitteln, wo Keeper im CMMC-Framework angesiedelt ist, hat Keeper kürzlich in Zusammenarbeit mit einem externen CMMC-Experten die Funktionen von Keeper bestimmten CMMC-Kontrollen zugeordnet. Dieser Experte, Jacob Hill, ist der CEO von TEKFused, einem Unternehmen, das Governance-, Risiko- und Compliance-Zertifizierungen (GRC) anbietet. Hill verfügt über mehr als 17 Jahre Erfahrung, einen Master-Abschluss in Cybersicherheit von der WGU und mehrere Zertifizierungen, darunter CMMC Certified Assessor, CMMC Provisional Instructor, CISSP-ISSEP und CySA+. Er hat außerdem CVEs veröffentlicht, und seine Forschungsarbeiten zum Thema Sicherheit wurden von Brian Krebs und Infosecurity Magazine vorgestellt.
*Haftungsausschluss: Durch Klicken auf die Schaltfläche oben wird eine Datei auf Ihren Computer heruntergeladen.
Durch die Kombination gezielter Cybersicherheitsmaßnahmen, strenger Zugriffsrichtlinien und Plattformen wie KSGC können Auftragnehmer ihre Bereitschaft beschleunigen, Compliance-Anforderungen vorwegnehmen und sich auf DoD-Verträge vorbereiten. Fordern Sie noch heute eine Demo an, um mehr zu erfahren.
