In der IT-Welt existiert eine Vielzahl von Standards, die Unternehmen einhalten müssen. Einer davon ist das Cybersecurity Maturity Model Certification (CMMC). Dieser Beitrag hat zum Ziel, ein fundiertes Verständnis von CMMC zu vermitteln, einschließlich seiner Bedeutung, der unterschiedlichen Stufen sowie der Frage, inwieweit eine Verpflichtung zur Umsetzung für Unternehmen besteht.
Übersicht über CMMC
Das Cybersecurity Maturity Model Certification, kurz CMMC, ist ein einheitlicher Standard, der vom US-Verteidigungsministerium (Department of Defense, DoD) eingeführt wurde, um die Cybersicherheitslage der Verteidigungsindustriellen Basis (Defense Industrial Base, DIB) in den Vereinigten Staaten zu stärken. Es umfasst eine Reihe von Cybersicherheitspraktiken und -prozessen, die darauf abzielen, sensible Daten zu schützen, insbesondere Informationen im Rahmen von Bundesaufträgen (Federal Contract Information, kurz FCI) sowie Kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, kurz CUI), die innerhalb der DIB verarbeitet werden.
Das erste Modell, CMMC 1.0, wurde am 31. Januar 2020 veröffentlicht. Es umfasste fünf verschiedene Reifestufen, die von grundlegender Cyberhygiene bis hin zu fortgeschrittenen bzw. progressiven Sicherheitspraktiken reichten.
Nach kritischem Feedback aus der Industrie hinsichtlich Komplexität und Kosten von CMMC 1.0 führte das DoD jedoch eine interne Überprüfung durch und entschied, das ursprüngliche Framework durch CMMC 2.0 zu ersetzen.
Das im Oktober 2024 veröffentlichte CMMC 2.0 stellt eine verschlankte Weiterentwicklung des ursprünglichen Modells dar. Statt fünf Reifestufen umfasst es nun drei Kontrollstufen.
Stufen von CMMC 2.0: Ein kurzer Überblick
Im Zuge der Weiterentwicklung zu CMMC 2.0 wurde die Anzahl der Reifestufen von ursprünglich fünf auf drei reduziert.
Level 1 – Grundlegend (Foundational)
Diese Stufe konzentriert sich auf grundlegende Cybersicherheitsmaßnahmen und ist Voraussetzung für Unternehmen, die mit FCI arbeiten. Sie umfasst die 15 Sicherheitskontrollen gemäß Federal Acquisition Regulation (FAR) 52.204-21.
Sie bildet den Einstieg in die Cybersicherheit und beinhaltet elementare Schutzmaßnahmen – vergleichbar mit der Sicherung physischer Zugänge und der Kontrolle, wer Zugriff auf sensible Informationen erhält.
Level 2 – Fortgeschritten (Advanced)
Unternehmen, die CUI verarbeiten, müssen diese Zertifizierungsstufe erfüllen. Sie geht deutlich über die grundlegenden Schutzmaßnahmen von Level 1 hinaus und erfordert strukturierte, dokumentierte Prozesse sowie eine klar definierte Cybersicherheitsstrategie.
Im Kern entspricht dies dem Aufbau eines umfassenden Sicherheitssystems.
Level 3 – Expertenniveau (Expert)
Diese Stufe ist für Auftragnehmer vorgesehen, die an besonders prioritären Programmen mit CUI beteiligt sind. Der Fokus liegt auf proaktiver Cyberabwehr. Nur ein kleiner Teil der DoD-Auftragnehmer wird diese Compliance-Stufe erreichen müssen.
Die einzelnen Stufen bauen aufeinander auf: Die Erfüllung von Level 2 setzt somit die vollständige Umsetzung der Anforderungen aus Level 1 voraus.
Muss jedes Unternehmen CMMC einhalten?
Grundsätzlich gilt: Alle Unternehmen, die mit dem US-Verteidigungsministerium zusammenarbeiten, von großen Hauptauftragnehmern bis hin zu kleineren Zulieferern, müssen die Anforderungen von CMMC erfüllen.
Die Vergabe und Fortführung von DoD-Aufträgen hängt maßgeblich davon ab, ob die beteiligten Unternehmen die Vorgaben von CMMC 2.0 einhalten. Das bedeutet, dass Unternehmen während der gesamten Vertragslaufzeit durchgehend CMMC-konform sein müssen.
Angesichts der zunehmenden Bedrohungslage im Cyberraum kann es jedoch auch für Unternehmen außerhalb des DoD-Umfelds sinnvoll sein, sich an den im CMMC definierten Sicherheitspraktiken zu orientieren, insbesondere dann, wenn der Schutz sensibler Daten eine zentrale Rolle spielt.
Warum ist CMMC wichtig?
In einer Zeit, in der Cyberbedrohungen stetig zunehmen, stellt CMMC ein zentrales Framework zur Sicherstellung wirksamer Cybersicherheitsmaßnahmen dar. Es handelt sich dabei nicht nur um eine Zertifizierung, sondern um ein klares Bekenntnis von Unternehmen zum Schutz sensibler Daten sowie um den Nachweis ihrer Fähigkeit, diese nachhaltig zu sichern.
Darüber hinaus eröffnet CMMC insbesondere Systemhäusern (MSPs) die Möglichkeit, ihre Kunden gezielt bei der Implementierung robuster Cybersicherheitsstrategien zu unterstützen.
Fazit
CMMC ist weit mehr als ein reiner Cybersicherheitsstandard. Es ist Ausdruck des klaren Engagements eines Unternehmens für den Schutz sensibler Daten. Auch wenn die Umsetzung derzeit für Auftragnehmer des US-Verteidigungsministeriums verpflichtend ist, sind die zugrunde liegenden Prinzipien universell anwendbar und können die Cybersicherheitsstrategie jedes Unternehmens nachhaltig stärken.
Indem sich Unternehmen eingehend mit den Funktionsweisen von CMMC befassen, können sie ihre bestehende Sicherheitslage fundiert bewerten und prüfen, inwieweit die Implementierung des Frameworks zur Optimierung ihrer operativen Resilienz beitragen kann, noch bevor eine formale Zertifizierung angestrebt wird.
