Neue Cybersicherheitsanforderungen erfüllen

Der Weg zur CMMC-Compliance

Cyberresilienz, Compliance, Datensicherheit
LinkedInRedditWhatsApp

Datensicherheitsvorfälle verursachen in den USA inzwischen enorme wirtschaftliche Schäden. Im Jahr 2025 lagen die durchschnittlichen Kosten eines solchen Vorfalls erstmals bei über zehn Millionen US Dollar.

Vor allem identitätsbasierte Angriffe, KI gestützte Angriffstechniken und Schwachstellen in Lieferketten treiben diese Entwicklung voran. Vor diesem Hintergrund verschärft das US Verteidigungsministerium seine Anforderungen an Unternehmen, die für den Verteidigungssektor tätig sind. Zentrales Instrument dafür ist das Cybersecurity Maturity Model Certification Programm, kurz CMMC.

Anzeige

Ziel und Grundidee des CMMC Programms

Das CMMC Framework wurde eingeführt, um die Cybersicherheitsreife von Unternehmen in der Verteidigungsindustrie systematisch zu bewerten. Es richtet sich nicht nur an Hauptauftragnehmer, sondern an die gesamte Lieferkette. Betroffen sind alle Organisationen, die im Rahmen von Verteidigungsaufträgen sensible Informationen verarbeiten, speichern oder übertragen. Dazu zählen sowohl Vertragsinformationen des Bundes als auch kontrollierte, nicht klassifizierte Daten.

Mit der überarbeiteten Version CMMC 2.0 wurde das Modell gestrafft. Statt fünf gibt es nun drei Reifegrade, die sich eng an bestehende US Sicherheitsstandards anlehnen. Ziel ist es, Anforderungen klarer, überprüfbarer und praktikabler zu gestalten.

Wer CMMC erfüllen muss und warum

Ob ein Unternehmen unter die CMMC Vorgaben fällt, hängt vom Umgang mit sensiblen Informationen ab. Dazu zählen Federal Contract Information, also nicht öffentliche Vertragsdaten der Regierung, sowie Controlled Unclassified Information, deren Schutz gesetzlich vorgeschrieben ist. Da die Vorgaben über Vertragsklauseln durchgesetzt werden, wird die Einhaltung eines bestimmten CMMC Levels zunehmend zur Voraussetzung für die Teilnahme an Ausschreibungen des Verteidigungsministeriums.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Drei Reifegrade mit wachsendem Anspruch

Der erste Reifegrad bildet die Basis. Er verlangt grundlegende Schutzmaßnahmen wie Zugriffsbeschränkungen, die Kontrolle externer Verbindungen und einfache Vorkehrungen zur Systemintegrität. Unternehmen bestätigen die Umsetzung dieser Anforderungen jährlich im Rahmen einer Selbstbewertung.

Der zweite Reifegrad geht deutlich weiter. Er orientiert sich am Standard NIST SP 800 171 und umfasst mehr als hundert Einzelanforderungen. Diese betreffen unter anderem Zugriffskontrollen, Identitätsprüfung, Protokollierung, Risikobewertung und den Schutz von Systemen und Kommunikation. Neben der technischen Umsetzung ist eine umfassende Dokumentation erforderlich. Je nach Vertragsanforderung erfolgt die Bewertung entweder intern oder durch eine unabhängige Prüfstelle.

Der dritte Reifegrad richtet sich an Unternehmen mit besonders schützenswerten Informationen. Zusätzlich zu den Anforderungen aus Level 2 kommen erweiterte Maßnahmen hinzu, etwa zur Anomalieerkennung, zur Isolierung kritischer Ressourcen und zur Erhöhung der Widerstandsfähigkeit gegen fortgeschrittene Bedrohungen. Bewertungen auf diesem Niveau werden ausschließlich durch staatliche Stellen durchgeführt.

Zeitplan für die schrittweise Einführung

Die Umsetzung des CMMC Programms erfolgt gestaffelt über mehrere Jahre. Seit November 2025 können erste Ausschreibungen entsprechende Nachweise verlangen. Ab Ende 2026 kommen vermehrt externe Prüfungen hinzu. Spätestens ab November 2028 sollen alle CMMC Anforderungen vollständig in den Beschaffungsprozess des US Verteidigungsministeriums integriert sein. Ab diesem Zeitpunkt ist eine passende Zertifizierung Voraussetzung für die Vergabe von Aufträgen.

Unabhängig vom jeweiligen Reifegrad stehen bestimmte Sicherheitsbereiche im Mittelpunkt. Dazu gehören die konsequente Zugriffskontrolle nach dem Prinzip minimaler Rechte, eine lückenlose Protokollierung sicherheitsrelevanter Ereignisse, der Schutz von Netzwerken und Kommunikationswegen sowie eine verlässliche Identitätsprüfung. Ebenso wichtig sind Prozesse zur Erkennung, Eindämmung und Dokumentation von Sicherheitsvorfällen.

Vorbereitung als strategische Aufgabe

CMMC ist mehr als eine formale Zertifizierung. Es zwingt Unternehmen dazu, ihre Sicherheitsarchitektur ganzheitlich zu betrachten und langfristig zu stärken. Analysen und Einschätzungen unter anderem von Zero Networks zeigen, dass technische Maßnahmen allein nicht ausreichen. Transparenz über Identitäten, Zugriffe und Abhängigkeiten wird zum entscheidenden Faktor, um die steigenden Anforderungen dauerhaft erfüllen zu können.


Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig joined the IT Verlag team as an online editor in May 2020. (pd)
Anzeige

Artikel zu diesem Thema

2026
19. Dezember 2025
KI, Quantencomputing und Cybersicherheit: Unternehmens-IT 2026

Weitere Artikel

Schalter umlegen: 2026 kommt der Wechsel von Reaktion zu Prävention
Cyberabwehr und der Übergang zu Dynamic Trust
Was ist CVE? Das Schwachstellen-Nummerierungssystem erklärt
OT-Sicherheit als entscheidender Schutzfaktor für Industrieunternehmen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.