{"id":764805,"date":"2026-03-19T14:55:20","date_gmt":"2026-03-19T14:55:20","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=content_hub&p=764805"},"modified":"2026-03-19T14:56:01","modified_gmt":"2026-03-19T14:56:01","slug":"was-ist-cmmc-ueberblick-und-definition","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaone.com\/de\/it-hub\/endpoint-security\/was-ist-cmmc-ueberblick-und-definition\/","title":{"rendered":"Was ist CMMC? Eine leicht verst\u00e4ndliche Einf\u00fchrung"},"content":{"rendered":"

In der IT-Welt existiert eine Vielzahl von Standards, die Unternehmen einhalten m\u00fcssen. Einer davon ist das Cybersecurity Maturity Model Certification (CMMC)<\/strong><\/a>. Dieser Beitrag hat zum Ziel, ein fundiertes Verst\u00e4ndnis von CMMC zu vermitteln, einschlie\u00dflich seiner Bedeutung, der unterschiedlichen Stufen sowie der Frage, inwieweit eine Verpflichtung zur Umsetzung f\u00fcr Unternehmen besteht.<\/span><\/p>\n

\u00dcbersicht \u00fcber CMMC<\/b><\/h2>\n

Das Cybersecurity Maturity Model Certification, kurz CMMC, ist ein einheitlicher Standard, der vom US-Verteidigungsministerium (Department of Defense, DoD) eingef\u00fchrt wurde, um die Cybersicherheitslage der Verteidigungsindustriellen Basis (Defense Industrial Base, DIB) in den Vereinigten Staaten zu st\u00e4rken. Es umfasst eine Reihe von Cybersicherheitspraktiken und -prozessen, die darauf abzielen, sensible Daten zu sch\u00fctzen, insbesondere Informationen im Rahmen von Bundesauftr\u00e4gen (Federal Contract Information, kurz FCI) sowie Kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, kurz CUI)<\/a>, die innerhalb der DIB verarbeitet werden.<\/span><\/p>\n

Das erste Modell, CMMC 1.0, wurde am 31. Januar 2020 ver\u00f6ffentlicht. Es umfasste f\u00fcnf verschiedene Reifestufen, die von grundlegender Cyberhygiene bis hin zu fortgeschrittenen bzw. progressiven Sicherheitspraktiken reichten.<\/p>\n

Nach kritischem Feedback aus der Industrie hinsichtlich Komplexit\u00e4t und Kosten von CMMC 1.0 f\u00fchrte das DoD jedoch eine interne \u00dcberpr\u00fcfung durch und entschied, das urspr\u00fcngliche Framework durch CMMC 2.0 zu ersetzen.<\/p>\n

Das im Oktober 2024 ver\u00f6ffentlichte CMMC 2.0 stellt eine verschlankte Weiterentwicklung des urspr\u00fcnglichen Modells dar. Statt f\u00fcnf Reifestufen umfasst es nun drei Kontrollstufen.<\/p>\n

Stufen von CMMC 2.0: Ein kurzer \u00dcberblick<\/h2>\n

Im Zuge der Weiterentwicklung zu CMMC 2.0 wurde die Anzahl der Reifestufen von urspr\u00fcnglich f\u00fcnf auf drei reduziert.<\/p>\n

Level 1 \u2013 Grundlegend (Foundational)<\/h3>\n

Diese Stufe konzentriert sich auf grundlegende Cybersicherheitsma\u00dfnahmen und ist Voraussetzung f\u00fcr Unternehmen, die mit FCI arbeiten. Sie umfasst die 15 Sicherheitskontrollen gem\u00e4\u00df Federal Acquisition Regulation (FAR) 52.204-21.<\/p>\n

Sie bildet den Einstieg in die Cybersicherheit und beinhaltet elementare Schutzma\u00dfnahmen \u2013 vergleichbar mit der Sicherung physischer Zug\u00e4nge und der Kontrolle, wer Zugriff auf sensible Informationen erh\u00e4lt.<\/p>\n

Level 2 \u2013 Fortgeschritten (Advanced)<\/h3>\n

Unternehmen, die CUI verarbeiten, m\u00fcssen diese Zertifizierungsstufe erf\u00fcllen. Sie geht deutlich \u00fcber die grundlegenden Schutzma\u00dfnahmen von Level 1 hinaus und erfordert strukturierte, dokumentierte Prozesse sowie eine klar definierte Cybersicherheitsstrategie.<\/p>\n

Im Kern entspricht dies dem Aufbau eines umfassenden Sicherheitssystems.<\/p>\n

Level 3 \u2013 Expertenniveau (Expert)<\/h3>\n

Diese Stufe ist f\u00fcr Auftragnehmer vorgesehen, die an besonders priorit\u00e4ren Programmen mit CUI beteiligt sind. Der Fokus liegt auf proaktiver Cyberabwehr. Nur ein kleiner Teil der DoD-Auftragnehmer wird diese Compliance-Stufe erreichen m\u00fcssen.<\/p>\n

Die einzelnen Stufen bauen aufeinander auf: Die Erf\u00fcllung von Level 2 setzt somit die vollst\u00e4ndige Umsetzung der Anforderungen aus Level 1 voraus.<\/p>\n

Muss jedes Unternehmen CMMC einhalten?<\/h2>\n

Grunds\u00e4tzlich gilt: Alle Unternehmen, die mit dem US-Verteidigungsministerium zusammenarbeiten, von gro\u00dfen Hauptauftragnehmern bis hin zu kleineren Zulieferern, m\u00fcssen die Anforderungen von CMMC erf\u00fcllen.<\/p>\n

Die Vergabe und Fortf\u00fchrung von DoD-Auftr\u00e4gen h\u00e4ngt ma\u00dfgeblich davon ab, ob die beteiligten Unternehmen die Vorgaben von CMMC 2.0 einhalten. Das bedeutet, dass Unternehmen w\u00e4hrend der gesamten Vertragslaufzeit durchgehend CMMC-konform sein m\u00fcssen.<\/p>\n

Angesichts der zunehmenden Bedrohungslage im Cyberraum kann es jedoch auch f\u00fcr Unternehmen au\u00dferhalb des DoD-Umfelds sinnvoll sein, sich an den im CMMC definierten Sicherheitspraktiken zu orientieren, insbesondere dann, wenn der Schutz sensibler Daten eine zentrale Rolle spielt.<\/p>\n

Warum ist CMMC wichtig?<\/b><\/h2>\n

In einer Zeit, in der Cyberbedrohungen stetig zunehmen, stellt CMMC ein zentrales Framework zur Sicherstellung wirksamer Cybersicherheitsma\u00dfnahmen dar. Es handelt sich dabei nicht nur um eine Zertifizierung, sondern um ein klares Bekenntnis von Unternehmen zum Schutz sensibler Daten sowie um den Nachweis ihrer F\u00e4higkeit, diese nachhaltig zu sichern.<\/span><\/p>\n

Dar\u00fcber hinaus er\u00f6ffnet CMMC insbesondere Systemh\u00e4usern (MSPs) die M\u00f6glichkeit, ihre Kunden gezielt bei der Implementierung robuster Cybersicherheitsstrategien zu unterst\u00fctzen.<\/p>\n

Fazit<\/b><\/h2>\n

CMMC ist weit mehr als ein reiner Cybersicherheitsstandard. Es ist Ausdruck des klaren Engagements eines Unternehmens f\u00fcr den Schutz sensibler Daten<\/a>. Auch wenn die Umsetzung derzeit f\u00fcr Auftragnehmer des US-Verteidigungsministeriums verpflichtend ist, sind die zugrunde liegenden Prinzipien universell anwendbar und k\u00f6nnen die Cybersicherheitsstrategie jedes Unternehmens nachhaltig st\u00e4rken.<\/span><\/p>\n

Indem sich Unternehmen eingehend mit den Funktionsweisen von CMMC befassen, k\u00f6nnen sie ihre bestehende Sicherheitslage fundiert bewerten und pr\u00fcfen, inwieweit die Implementierung des Frameworks zur Optimierung ihrer operativen Resilienz beitragen kann, noch bevor eine formale Zertifizierung angestrebt wird.<\/p>\n","protected":false},"author":89,"featured_media":145066,"parent":0,"template":"","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":""},"hub_categories":[4184],"class_list":["post-764805","content_hub","type-content_hub","status-publish","has-post-thumbnail","hentry","content_hub_category-endpoint-security"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/content_hub\/764805","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/content_hub"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/content_hub"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/89"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media\/145066"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=764805"}],"wp:term":[{"taxonomy":"content_hub_category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/hub_categories?post=764805"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}