Zero-Trust ist ein Cybersecurity-Framework, das auf dem Prinzip „niemals vertrauen, immer überprüfen“ basiert. Das bedeutet, dass jeder Benutzer, jedes Gerät und jede Sitzung kontinuierlich überprüft werden
Die Cybersecurity Maturity Model Certification (CMMC) ist ein Rahmenwerk des US-Verteidigungsministeriums (DoD), das sicherstellen soll, dass Organisationen, die mit Informationen der Bundesregierung umgehen, über angemessene Cybersicherheitskontrollen verfügen. Obwohl CMMC oft mit Regierungsbehörden und Verteidigungsauftragnehmern in Verbindung gebracht wird, müssen möglicherweise auch Forschungsuniversitäten, die an vom Verteidigungsministerium finanzierten Projekten beteiligt sind, kontrollierte unklassifizierte Informationen (CUI) wie Forschungsdaten und technische Spezifikationen schützen. Da Universitäten staatlich finanzierte Forschungsprojekte und Bundeszuschüsse anstreben, müssen sie die neuesten Anforderungen erfüllen, um ihre Förderfähigkeit zu wahren und vertrauliche Daten zu schützen. Forschungsuniversitäten können sich auf die Einhaltung von CMMC Level 2 vorbereiten, indem sie identifizieren, wo sich CUI befindet, Zugangskontrollen verbessern und die notwendigen Sicherheitsmaßnahmen zum Schutz vertraulicher Daten implementieren.
Lesen Sie weiter, um mehr über CMMC Level 2 zu erfahren, warum es für Forschungsuniversitäten wichtig ist und wie Keeper die Einhaltung der CMMC unterstützt.
Was ist CMMC Level 2?
CMMC umfasst mehrere Zertifizierungsstufen. Institutionen, die an der vom DoD finanzierten Forschung beteiligt sind, werden jedoch höchstwahrscheinlich mit den Anforderungen von CMMC Level 2 konfrontiert. CMMC Level 2 gilt für Organisationen, die CUI speichern, verarbeiten oder teilen, um sicherzustellen, dass vertrauliche Regierungsinformationen vor potenziellen Cyberbedrohungen und unbefugtem Zugriff geschützt sind. CMMC Level 2 entspricht den Sicherheitsmaßnahmen, die in der Special Publication 800-171 des Nationalen Instituts für Standards und Technologie (NIST) festgelegt sind, einem Rahmenwerk, das nicht-föderalen Organisationen beim Schutz von CUI hilft. Die 110 Sicherheitskontrollen umfassen eine Vielzahl von Cybersicherheitspraktiken, darunter Zugangskontrolle, Authentifizierung, Vorfallreaktion und Datenintegrität.
Warum CMMC Level 2 für Forschungsuniversitäten wichtig ist
Regierungsbehörden übernehmen Zero-Trust-Sicherheitsprinzipien, da Cyberbedrohungen, die sie ins Visier nehmen, weiter zunehmen, doch die Anforderungen des CMMC sind nicht ausschließlich traditionellen Rüstungsunternehmen vorbehalten. Für Forschungsuniversitäten ist CMMC Level 2 besonders wichtig, da viele staatlich geförderte Forschungsprojekte vertrauliche Daten, Forschungsergebnisse, Testergebnisse und andere Formen von CUI umfassen. Um CMMC Level 2 zu erreichen, müssen Institutionen nachweisen, dass ausreichende Sicherheitskontrollen vorhanden sind, um CUIs während ihres gesamten Lebenszyklus zu schützen.
Die Durchsetzungsregel, die CMMC in DoD-Verträgen vorschreibt (48 CFR), trat am 10. November 2025 in Kraft, und DoD-Verträge enthalten nun schrittweise CMMC-Anforderungen. In der ersten Phase werden die meisten Anforderungen in Form einer Selbstbewertung der Stufe 1 oder 2 gestellt, obwohl einige Verträge bereits eine Zertifizierung der Stufe 2 durch eine zertifizierte unabhängige Bewertungsstelle (C3PAO) vorschreiben. Ab dem 10. November 2026 treten umfassende Anforderungen für die C3PAO-Zertifizierung der Stufe 2 in Kraft. Die konkreten Anforderungen hängen von den Vertragsdetails und den zu verarbeitenden Informationen ab. Forschungsuniversitäten, die an aktuellen oder zukünftigen vom DoD finanzierten Projekten beteiligt sind, sollten jetzt ihre Sicherheitslage bewerten, um sich darauf vorzubereiten.
Was Forschungsuniversitäten für die CMMC-Konformität tun sollten
Die Vorbereitung auf die CMMC-Level-2-Konformität erfordert von Forschungsuniversitäten, zu verstehen, wo CUI in ihren Umgebungen existieren, aktuelle Sicherheitskontrollen zu bewerten und laufende Konformitätsbemühungen zu unterstützen. Eine proaktive Herangehensweise an die CMMC Level 2-Konformität kann Institutionen helfen, Sicherheitslücken frühzeitig zu erkennen und eine stärkere Grundlage für den Schutz vertraulicher Daten zu entwickeln.
Ermitteln Sie, wo sich CUI befinden
Bevor Sicherheitskontrollen eingeführt werden, müssen Forschungsuniversitäten verstehen, wo CUI in der gesamten Organisation gespeichert und verarbeitet werden. CUI können in Forschungsdatenbanken, Laborsystemen, Cloud-Plattformen und Geräten existieren, die von Lehrkräften und Forschern genutzt werden. Da Universitäten oft in mehreren Fachbereichen und Programmen operieren, kann es schwierig sein, einen vollständigen Überblick über vertrauliche Informationen zu behalten. In vielen Fällen können CUI auch außerhalb dedizierter Forschungsumgebungen existieren, beispielsweise in E-Mails, gemeinsam genutzten Drives oder Geräten im Besitz der Fakultät. Die Identifizierung dieser Datenquellen ist ein wichtiger erster Schritt, um zu bestimmen, welche Benutzer und Systeme zusätzlichen Sicherheitskontrollen unterliegen sollten.
Führen Sie eine gründliche Sicherheitslückenanalyse durch
Sobald CUI identifiziert sind, sollten Forschungsuniversitäten bewerten, wie ihre aktuellen Sicherheitspraktiken mit den Anforderungen des NIST SP 800-171 übereinstimmen. Dies sollte die Überprüfung bestehender Zugriffskontrollen, Überwachungsmöglichkeiten, Vorfallreaktionspläne und Prüfprozesse umfassen. Universitäten sollten außerdem privilegierte Konten inventarisieren und ihre Berechtigungen überprüfen, um festzustellen, ob der Zugriff über das hinausgeht, was für die Benutzerrollen erforderlich ist. Obwohl viele Institutionen bereits Sicherheitsmaßnahmen haben, werden diese Kontrollen möglicherweise nicht einheitlich über Abteilungen und Programme hinweg umgesetzt.
Implementierung sicherer Forschungsumgebungen
Forschungsumgebungen sollten so gestaltet sein, dass der Zugriff auf CUI ausschließlich auf autorisierte Benutzer und Systeme beschränkt ist. Eine Zugriffsbeschränkung verringert das Risiko einer Datenpreisgabe und trägt dazu bei, die unbefugte Weitergabe vertraulicher Informationen zu verhindern. Lösungen für Identitäts- und Zugriffsmanagement (IAM) können Universitäten dabei helfen, den Least-Privilege-Zugriff durchzusetzen, indem sie sicherstellen, dass Benutzer nur über die Berechtigungen verfügen, die zur Ausübung ihrer Tätigkeit erforderlich sind. Institutionen sollten außerdem die Multi-Faktor-Authentifizierung (MFA) für alle Konten vorschreiben, die auf Systeme zugreifen, die CUI enthalten, einschließlich Fernzugriffsumgebungen. Starke Identitäts- und Zugriffskontrollen helfen, Insider-Bedrohungen zu minimieren, und unterstützen die CMMC Level 2-Anforderungen in Bezug auf Identifikation und Authentifizierung.
SSPs und POAMs dokumentieren
Die Pflege genauer Systemsicherheitspläne (SSPs) sowie Plans of Action and Milestones (POAMs) kann zukünftige Bewertungen vereinfachen und die Einhaltung der CMMC Level 2-Anforderungen nachweisen. Ein SSP dokumentiert die Sicherheitskontrollen einer Organisation und definiert, wie diese implementiert und verwaltet werden. Ein POAM identifiziert Sicherheitslücken und die notwendigen Maßnahmen zu deren Schließung. Universitäten sollten diese Dokumentation als einen fortlaufenden Prozess behandeln, anstatt als eine einmalige Übung, um sicherzustellen, dass die Informationen korrekt bleiben, während sich Systeme und Forschungsumgebungen im Laufe der Zeit ändern.
Bereiten Sie sich auf Audits von C3PAOs vor
Forschungsuniversitäten, die eine CMMC Level 2-Zertifizierung anstreben, müssen sich gegebenenfalls Bewertungen durch C3PAOs unterziehen. Die Vorbereitung auf diese Bewertungen erfordert nicht nur die Umsetzung von Sicherheitsmaßnahmen, sondern auch den Nachweis, dass diese Kontrollen ordnungsgemäß funktionieren. Institutionen sollten Nachweise zur Untermauerung ihrer Sicherheitsmaßnahmen aufbewahren, darunter detaillierte Prüfpfade, Zugriffsprotokolle, Sicherheitsrichtlinien und Schulungsunterlagen. Das Sammeln dieser Informationen im Voraus kann den Bewertungsprozess rationalisieren und die Belastung bei der Vorbereitung auf formelle Überprüfungen reduzieren.
Wie Keeper® die CMMC 2.0-Bereitschaft unterstützt
Organisationen, die CUI verarbeiten, benötigen starke Zugriffskontrollen, volle Transparenz der Benutzeraktivitäten und die Fähigkeit, nachzuweisen, dass die Sicherheitskontrollen effektiv funktionieren. Die Erreichung der CMMC Level 2-Konformität erfordert eine Kombination aus Menschen, Technologie und Prozessen, und Keeper Security Government Cloud (KSGC) unterstützt Organisationen dabei, die Sicherheit von CUI zu gewährleisten und mehrere Sicherheitskontrollen zu verbessern, die die CMMC-Bereitschaftsbemühungen unterstützen. Als FedRAMP High-zertifizierte Plattform bietet Keeper Forschungsuniversitäten die Werkzeuge, die benötigt werden, um vertrauliche Informationen zu schützen, privilegierten Zugriff zu kontrollieren und audittaugliche Transparenz über Umgebungen hinweg zu gewährleisten.
KSGC unterstützt Forschungsuniversitäten bei der Vorbereitung auf CMMC 2.0, indem es ihnen Folgendes ermöglicht:
- Anmeldeinformationen und vertrauliche Daten in einer Zero-Knowledge-Architektur sichern (SC.L2-3.13.11, SC.L2-3.13.16, IA.L2-3.5.10): Schützen Sie Passwörter, forschungsbezogene Zugangsdaten und vertrauliche Informationen in verschlüsselten Tresoren.
- Rollenbasierte Zugriffskontrollen (RBAC) erzwingen (AC.L2-3.1.2, AC.L2-3.1.4, AC.L2-3.1.5): Beschränken Sie den Zugriff auf Systeme und Daten auf Grundlage der Verantwortlichkeiten der Benutzer, um eine unnötige Offenlegung von CUI zu vermeiden.
- Authentifizierung mit MFA stärken (IA.L2-3.5.3, IA.L2-3.5.4):Verbessern Sie die Kontosicherheit durch zusätzliche Verifizierungsfaktoren für Benutzer, die auf Systeme mit vertraulichen Informationen zugreifen.
- Privilegierter Sitzungen überwachen und aufzeichnen (AU. L2-3.3.1, AU. L2-3.3.2):Erhalten Sie Transparenz über privilegierte Aktivitäten durch Sitzungsüberwachungs- und Aufzeichnungsfunktionen, die Verantwortlichkeit und Sicherheitsuntersuchungen unterstützen.
- Auditreife Berichte erstellen (AU. L2-3.3.6):Führen Sie gründliche Konformitätsberichte, die Benutzeraktivitäten, Zugriffs- und Sicherheitskontrollen dokumentieren, was die Auditvorbereitung optimieren kann.
- Zero-Trust-Sicherheitsprinzipien implementieren (SC.L2-3.13.1, SC.L2-3.13.6): Alle Nutzer und Geräte sollten vor der Zugriffsgewährung überprüft werden, während gleichzeitig implizites Vertrauen in lokalen, hybriden und Cloud-Forschungsumgebungen eliminiert wird.
Bereiten Sie sich auf CMMC Level 2-Konformität mit Keeper vor
Da sich Forschungsuniversitäten zunehmend an vom US-Verteidigungsministerium finanzierten Forschungsprojekten beteiligen, wird die Einhaltung der CMMC-Richtlinien zu einem immer wichtigeren Bestandteil des Schutzes vertraulicher Informationen und der Aufrechterhaltung der Berechtigung für zukünftige Forschungsmöglichkeiten. Da sich CMMC Level 2 speziell auf den Schutz von CUI konzentriert, sollten Institutionen so früh wie möglich mit der Bewertung ihrer Sicherheit beginnen, anstatt zu warten, bis die Einhaltung verpflichtend wird. Fordern Sie noch heute eine Demo an, um zu erfahren, wie KSGC Ihrer Institution helfen kann, Zugangskontrollen zu stärken, CUI zu sichern und die CMMC Level 2-Bereitschaft zu unterstützen.