Thought Leadership
Datensicherheitsvorfälle verursachen in den USA inzwischen enorme wirtschaftliche Schäden. Im Jahr 2025 lagen die durchschnittlichen Kosten eines solchen Vorfalls erstmals bei über zehn Millionen US Dollar.
Vor allem identitätsbasierte Angriffe, KI gestützte Angriffstechniken und Schwachstellen in Lieferketten treiben diese Entwicklung voran. Vor diesem Hintergrund verschärft das US Verteidigungsministerium seine Anforderungen an Unternehmen, die für den Verteidigungssektor tätig sind. Zentrales Instrument dafür ist das Cybersecurity Maturity Model Certification Programm, kurz CMMC.
Ziel und Grundidee des CMMC Programms
Das CMMC Framework wurde eingeführt, um die Cybersicherheitsreife von Unternehmen in der Verteidigungsindustrie systematisch zu bewerten. Es richtet sich nicht nur an Hauptauftragnehmer, sondern an die gesamte Lieferkette. Betroffen sind alle Organisationen, die im Rahmen von Verteidigungsaufträgen sensible Informationen verarbeiten, speichern oder übertragen. Dazu zählen sowohl Vertragsinformationen des Bundes als auch kontrollierte, nicht klassifizierte Daten.
Mit der überarbeiteten Version CMMC 2.0 wurde das Modell gestrafft. Statt fünf gibt es nun drei Reifegrade, die sich eng an bestehende US Sicherheitsstandards anlehnen. Ziel ist es, Anforderungen klarer, überprüfbarer und praktikabler zu gestalten.
Wer CMMC erfüllen muss und warum
Ob ein Unternehmen unter die CMMC Vorgaben fällt, hängt vom Umgang mit sensiblen Informationen ab. Dazu zählen Federal Contract Information, also nicht öffentliche Vertragsdaten der Regierung, sowie Controlled Unclassified Information, deren Schutz gesetzlich vorgeschrieben ist. Da die Vorgaben über Vertragsklauseln durchgesetzt werden, wird die Einhaltung eines bestimmten CMMC Levels zunehmend zur Voraussetzung für die Teilnahme an Ausschreibungen des Verteidigungsministeriums.
Drei Reifegrade mit wachsendem Anspruch
Der erste Reifegrad bildet die Basis. Er verlangt grundlegende Schutzmaßnahmen wie Zugriffsbeschränkungen, die Kontrolle externer Verbindungen und einfache Vorkehrungen zur Systemintegrität. Unternehmen bestätigen die Umsetzung dieser Anforderungen jährlich im Rahmen einer Selbstbewertung.
Der zweite Reifegrad geht deutlich weiter. Er orientiert sich am Standard NIST SP 800 171 und umfasst mehr als hundert Einzelanforderungen. Diese betreffen unter anderem Zugriffskontrollen, Identitätsprüfung, Protokollierung, Risikobewertung und den Schutz von Systemen und Kommunikation. Neben der technischen Umsetzung ist eine umfassende Dokumentation erforderlich. Je nach Vertragsanforderung erfolgt die Bewertung entweder intern oder durch eine unabhängige Prüfstelle.
Der dritte Reifegrad richtet sich an Unternehmen mit besonders schützenswerten Informationen. Zusätzlich zu den Anforderungen aus Level 2 kommen erweiterte Maßnahmen hinzu, etwa zur Anomalieerkennung, zur Isolierung kritischer Ressourcen und zur Erhöhung der Widerstandsfähigkeit gegen fortgeschrittene Bedrohungen. Bewertungen auf diesem Niveau werden ausschließlich durch staatliche Stellen durchgeführt.
Zeitplan für die schrittweise Einführung
Die Umsetzung des CMMC Programms erfolgt gestaffelt über mehrere Jahre. Seit November 2025 können erste Ausschreibungen entsprechende Nachweise verlangen. Ab Ende 2026 kommen vermehrt externe Prüfungen hinzu. Spätestens ab November 2028 sollen alle CMMC Anforderungen vollständig in den Beschaffungsprozess des US Verteidigungsministeriums integriert sein. Ab diesem Zeitpunkt ist eine passende Zertifizierung Voraussetzung für die Vergabe von Aufträgen.
Unabhängig vom jeweiligen Reifegrad stehen bestimmte Sicherheitsbereiche im Mittelpunkt. Dazu gehören die konsequente Zugriffskontrolle nach dem Prinzip minimaler Rechte, eine lückenlose Protokollierung sicherheitsrelevanter Ereignisse, der Schutz von Netzwerken und Kommunikationswegen sowie eine verlässliche Identitätsprüfung. Ebenso wichtig sind Prozesse zur Erkennung, Eindämmung und Dokumentation von Sicherheitsvorfällen.
Vorbereitung als strategische Aufgabe
CMMC ist mehr als eine formale Zertifizierung. Es zwingt Unternehmen dazu, ihre Sicherheitsarchitektur ganzheitlich zu betrachten und langfristig zu stärken. Analysen und Einschätzungen unter anderem von Zero Networks zeigen, dass technische Maßnahmen allein nicht ausreichen. Transparenz über Identitäten, Zugriffe und Abhängigkeiten wird zum entscheidenden Faktor, um die steigenden Anforderungen dauerhaft erfüllen zu können.
