CMMC: Mit Keeper Security auf dem richtigen Weg!
Keeper Security Government Cloud (KSGC) password manager and privileged access manager is FedRAMP High Authorized and addresses your Cybersecurity Maturity Model Certification (CMMC) requirements.
Wofür steht CMMC?
Cybersecurity Maturity Model Certification (kurz CMMC) ist ein Bewertungsrahmen und Zertifizierungsprogramm des US-Verteidigungsministeriums für die Cybersicherheit von Rüstungsunternehmen. Über CMMC werden Unternehmen der Verteidigungsindustrie auf unabhängige Weise anhand der NIST 800-171-Sicherheitskontrollen zum Schutz kontrollierter, nicht klassifizierter Informationen (CUI) bewertet.
CMMC baut auf den bestehenden Vorschriften von DFARS 252.204-7012 auf. Zugangskontrollen und Datenschutz stehen im Vordergrund des Modells, um das Risiko von Cyber-Bedrohungen zu verringern.
Um die CMMC-Sicherheitsprüfungen bestehen zu können, sind Menschen, Prozesse und Technologien erforderlich. Mittels Keeper Security Government Cloud (KSGC) können Rüstungsunternehmen 26 der 110 Prüfungen für CMMC Level 2 bestehen. Eine detaillierte Liste hierzu finden Sie in der nachstehenden Tabelle.
So hilft KSGC bei der Erfüllung der CMMC-Anforderungen bzgl. der Passwortsicherheit
Die meisten CMMC-Sicherheitsprüfungen basieren auf dem Regelwerk NIST 800-171 Revision 2, das im Jahr 2020 veröffentlicht wurde. NIST 800-171 Revision 3 wird im 1. Quartal 2024 veröffentlicht und enthält neue Anforderungen an die Passwortsicherheit.
Vielen IT-Teams von Rüstungsunternehmen mangelt es an Einblick in die Passwortsicherheit ihrer Organisation. KSGC analysiert die Stärke und Sicherheit gespeicherter Passwörter im gesamten Unternehmen. Die Passwörter werden dabei einzeln auf Komplexität, Einzigartigkeit und Vorkommen im Darknet geprüft. Dadurch kann KSGC eine umfassende Risikobewertung für einzelne Zugangsdaten und die gesamte Passwortvergabe des Unternehmens liefern. IT-Administratoren erhalten hilfreiche Einblicke durch detaillierte Berichte und Übersichten, die schwache, wiederverwendete oder gehackte Passwörter hervorheben und es ihnen ermöglichen, Passwortregeln proaktiv durchzusetzen und Korrekturmaßnahmen einzuleiten.
Das kontinuierliche Überwachungs- und Warnsystem von KSGC stellt sicher, dass Administratoren schnell auf potenzielle Sicherheitslücken reagieren können, und verbessert so die Abwehr des Unternehmens von Cyber-Bedrohungen, indem starke, sichere Zugangsdaten zur Selbstverständlichkeit gemacht werden.
So hilft KSGC bei der Erfüllung der CMMC-Anforderungen bzgl. der sicheren Dateifreigabe
Rüstungsunternehmen tauschen mit dem US-Verteidigungsministerium in regelmäßigen Abständen gemeinsame CUI-Dateien aus. Laut CMMC müssen Organisationen beim Teilen von CUI-Dateien strenge Sicherheitsprotokolle einhalten, z. B. Verschlüsselungen nutzen und den Zugriff nur für autorisierte Benutzer gewähren.
E-Mails werden im Allgemeinen nicht verschlüsselt, sodass Cyberkriminelle E-Mails und Anhänge während der Übertragung abfangen können. Beim Versenden vertraulicher Informationen per E-Mail besteht zudem das Risiko, dass die Informationen ohne die Erlaubnis des Absenders weitergeleitet, gespeichert oder gedruckt werden.
Einige Unternehmen verwenden Microsoft Encrypted Email, das den Empfänger zu einem sicheren Anmeldebildschirm weiterleitet, wo er auf die E-Mail mit den Dateien zugreifen kann. In vielen Fällen lässt die interne Kontrolle der Regierungscomputer diesen Anmeldevorgang jedoch nicht zu, sodass die Behörde die Informationen nicht erhält.
Alternativ können Unternehmen eine verschlüsselte PDF erstellen und der Behörde dann separat das Passwort für die PDF per Klartext-E-Mail senden. Dieser Prozess ist umständlich, unsicher und für die Mitarbeiter alles andere als benutzerfreundlich.
Dateien mit KSGC sicher speichern und teilen
KSGC verfügt über integrierte, von der FedRAMP zertifizierte Dateifreigabefunktionen und bietet eine sichere und benutzerfreundliche Möglichkeit zum Teilen von Dateien. Keeper ermöglicht eine sichere Freigabe von Tresor zu Tresor und eine einmalige Freigabe mit Elliptic-Curve-Verschlüsselung, d. h. Cyberkriminelle können Passwörter oder Dateien während der Übertragung nicht abfangen. Nur der vorgesehene Empfänger kann auf den geteilten Datensatz zugreifen. Mit der einmaligen Freigabe müssen sich Empfänger nicht anmelden und sie müssen auch nicht bei Keeper lizenziert sein, um die verschlüsselte Datei öffnen und herunterladen zu können.
Darüber hinaus zeigen Protokolle in Keeper alle Sende- und Empfangsinformationen zur einmaligen Freigabe an. Es können auch Echtzeit-Sicherheitswarnungen aktiviert werden, um Systemadministratoren bei erfolgter Freigabe per SMS, E-Mail oder Messaging-Plattformen wie Slack oder Teams zu benachrichtigen.
Die verschlüsselte Dateifreigabe ist ein Muss für jede Organisation, die mit dem US-Verteidigungsministerium zusammenarbeitet. Mit Keeper können Unternehmen ihre vertraulichen Dateien in einem verschlüsselten Format speichern und weitergeben, um die Einhaltung von Standards und Prüfungen zu optimieren.
CMMC-Sicherheitsprüfungen, die durch KSGC abgedeckt sind
CMMC ist auf dem Weg, die 3. Revision von NIST 800-171 in Kraft zu setzen. Im Zuge dessen müssen Rüstungsunternehmen neue Anforderungen berücksichtigen.
Zukünftige CMMC-Änderungen
- Neue und geänderte Passwörter dürfen nicht auf Listen häufig verwendeter, erratbarer oder gehackter Passwörter zu finden sein.
- Passwörter müssen geändert werden, wenn sie gehackt wurden.
Definitionen für die nachstehende Tabelle
- Wird erfüllt: Keeper kann als primäre Lösung für die spezielle Sicherheitsprüfung in Ihrem Systemsicherheitsplan (SSP) verwendet werden.
- Wird unterstützt: Keeper kann verwendet werden, um der speziellen Sicherheitsprüfung in Ihrem Systemsicherheitsplan (SSP) besser Stand zu halten.
Sicherheitsprüfung
Status
Kommentare
AC.L2-3.1.1 Autorisierte Zugangskontrolle (CUI)
Wird unterstützt
Mit dem Enterprise Password Manager (EPM) von Keeper können Benutzer sichere und einzigartige Passwörter generieren und speichern, die der Benutzerauthentifizierung dienen.
AC.L2-3.1.11 Sitzungsablauf
Wird unterstützt
Keeper bietet plattformspezifische Sitzungsablaufeinstellungen, über die ein gewünschter Zeitraum festgelegt werden kann. EPM bietet auch Optionen zur erneuten Authentifizierung für Aktionen wie das automatische Ausfüllen eines Passworts.
AC.L2-3.1.12 Fernzugriffskontrolle
Wird erfüllt
KCM ist ein Fernzugriff-Gateway, das Benutzern den Zugriff auf Ressourcen nach dem Prinzip der geringsten Zugriffsrechte gewährt. Es verwendet Verbindungsprotokolle wie RDP, HTTPS, SSH, VNC, Telnet, Kubernetes, MySQL, PostgreSQL und SQL.
AC.L2-3.1.13 Vertraulichkeit beim Fernzugriff
Wird erfüllt
KCM verwendet eine FIPS 140-3-validierte Verschlüsselung, um die Vertraulichkeit des Fernzugriffs zu gewährleisten.
AC.L2-3.1.14 Fernzugriff-Routing
Wird erfüllt
KCM ist ein Fernzugriff-Gateway, das als verwalteter Zugangskontrollpunkt dient.
AC.L2-3.1.15 Privilegierter Fernzugriff
Wird erfüllt
KCM kann den Benutzerzugriff auf bestimmte Verbindungen, auf eine bestimmte Anwendung innerhalb einer RDP-Sitzung und durch automatisches Ausführen von SSH-Befehlen beim Verbindungsaufbau einschränken.
AU.L2-3.3.1 Systemprüfung
Wird unterstützt
Das Keeper-Module für erweiterte Berichte und Warnungen (ARAM) erstellt unternehmensweite Prüfungen und Berichte zu Administrator- und Benutzeraktivitäten.
AU.L2-3.3.5 Prüfkorrelation
Wird unterstützt
ARAM lässt sich nahtlos in SIEM-Lösungen integrieren, um eine langfristige Speicherung und Prüfkorrelation zu ermöglichen.
AU.L2-3.3.6 Reduzierung & Berichterstattung
Wird unterstützt
ARAM bietet Filter für mehr als 200 Ereignistypen.
CM.L2-3.4.2 Durchsetzung der Sicherheitskonfiguration
Wird unterstützt
EPM bietet umfangreiche gruppenbasierte Regeln, die festlegen, wie Keeper verwendet werden kann.
CM.L2-3.4.6 Zugriff mit geringster Funktionalität
Wird unterstützt
KCM kann eine Remote-RDP-Sitzung auf eine einzelne Anwendung beschränken, das Verhalten der Zwischenablage steuern, die Druckfunktion deaktivieren und vieles mehr.
IA.L2-3.5.10 Kryptografisch geschützte Passwörter
Wird erfüllt
EPM speichert und überträgt Passwörter sicher mithilfe der FIPS 140-3-validierten Verschlüsselung.
IA.L2-3.5.11 Eingabemaskierung
Wird unterstützt
EPM maskiert Passwörter und andere vertrauliche Informationen. Keeper ermöglicht zudem die Erstellung benutzerdefinierter Datensatztypen mit Maskierungseinstellungen für jedes benutzerdefinierte Feld.
IA.L2-3.5.3 2-Faktor-Authentifizierung
Wird unterstützt
Keeper unterstützt mehrere MFA-Methoden, u. a. TOTP, RSA SecureID, Duo Security, FIDO2-Sicherheitsschlüssel, Windows Hello und biometrische Authentifizierungen für Mobilgeräte. Außerdem ist eine zusätzliche Genehmigung erforderlich, wenn der Zugriff auf ein Konto über ein neues Gerät angefordert wird.
IA.L2-3.5.4 Schutz vor Replay-Angriffen
Wird erfüllt
KSM überträgt Geheimnisse in einem verschlüsselten TLS-Tunnel. Die Geheimnisse werden auf dem Gerät des Benutzers entschlüsselt.
IA.L2-3.5.7 Passwortkomplexität
Wird erfüllt
EPM bietet diverse Einstellungen für die Passwortkomplexität von Master-Passwörtern und Passwörtern für definierte Domains und IP-Adressen. Sicherheitsprüfberichte zeigen zudem die Stärken und Schwächen von Passwörtern im Unternehmen anhand von Statistiken auf.
IA.L2-3.5.8 Passwortwiederverwendung
Wird erfüllt
Mit EPM können Unternehmen vermeiden, dass dieselben Passwörter für mehrere Konten verwendet werden, indem für jedes Konto einzigartige Passwörter generiert werden. Sicherheitsprüfberichte liefern Statistiken zur Passwortwiederverwendung.
IA.L2-3.5.9 Temporäre Passwörter
Wird unterstützt
EPM ermöglicht die sichere gemeinsame Nutzung temporärer Zugangsdaten mittels einer Übertragung des Besitzes eines Passwortdatensatzes oder mittels einer einmaligen Freigabe.
SC.L2-3.13.10 Schlüsselverwaltung
Wird unterstützt
KSM speichert und überträgt Geheimnisse wie SSH-Schlüssel, API-Schlüssel, Verschlüsselungsschlüssel und Passwörter sicher mithilfe der FIPS 140-3-validierten Zero-Knowledge-Verschlüsselung. KSM kann Geheimnisse auch automatisch rotieren.
SC.L2-3.13.11 CUI-Verschlüsselung
Wird erfüllt
EPM uses its FIPS 140-3 validated zero-knowledge encryption to encrypt any CUI and is FedRAMP Authorized at the High Impact level.
SC.L2-3.13.16 Data At Rest
Wird erfüllt
EPM uses FIPS 140-3 validated zero-knowledge encryption to encrypt any CUI stored in the system at rest and is FedRAMP Authorized at the High Impact level.
SC.L2-3.13.6 Netzwerkkommunikation mit Ausnahmen
Wird unterstützt
Der Netzwerkzugriff kann durch die Aktivierung einer Positivliste für IP-Adressen eingeschränkt werden.
SC.L2-3.13.8 Data In Transit
Wird erfüllt
EPM uses FIPS 140-3 validated zero-knowledge encryption to encrypt any CUI in transit and is FedRAMP Authorized at the High Impact level.
SC.L2-3.13.9 Verbindungsablauf
Wird erfüllt
Die Zeitüberschreitungen für KCM-Sitzungen sind konfigurierbar.
SI.L2-3.14.3 Sicherheitswarnungen
Wird unterstützt
BreachWatch von Keeper überwacht ständig, ob Passwörter gehackt wurden, und warnt den Benutzer oder Administrator, sobald ein Passwort von einer Datenpanne betroffen ist.
SI.L2-3.14.7 Unbefugte Nutzung erkennen
Wird unterstützt
ARAM von Keeper kann bei mehr als 200 Ereignistypen warnen. Das Modul zur Überwachung der Richtlinienkonformität von EPM bietet zusätzliche Berichte, um eine unbefugte Weitergabe oder Verwendung von Passwörtern aufzudecken.
KSGC is FedRAMP High Authorized
Keeper Security Government Cloud password manager and privileged access manager is FedRAMP High Authorized and maintains the Keeper Security zero-trust security framework alongside a zero-knowledge security architecture.
KSGC bietet:
Vollständige Transparenz und Kontrolle über die Stärke von Mitarbeiterpasswörtern
Sichere Dateifreigabe und Dateispeicherung
Granulare, rollenbasierte Zugriffskontrollen (RBAC)
Zero-Trust-Netzwerkzugriff
Warnung vor Darknet-Einträgen
